dnsmasq的Rebind protection导致的域名解析问题

最新推荐文章于 2024-07-06 17:35:08 发布
最新推荐文章于 2024-07-06 17:35:08 发布
阅读量9.2k 收藏 1
点赞数 1
分类专栏: OpenWrt 路由器 文章标签: dnsmasq rebind protection openwrt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boliang319/article/details/38279195
版权

路由器配置如下:

root@liangbo:~# uci show network.wan
network.wan=interface
network.wan.ifname=eth0
network.wan.proto=dhcp   <=============WAN 自动获取配置信息

root@liangbo:~# uci show network.lan
network.lan=interface
network.lan.ifname=eth1
network.lan.force_link=1
network.lan.type=bridge
network.lan.proto=static
network.lan.ipaddr=192.168.1.1
network.lan.netmask=255.255.255.0
network.lan.ip6assign=60

root@liangbo:~# ifconfig eth0   <=====WAN口成功获得地址
eth0      Link encap:Ethernet  HWaddr 00:1B:C5:09:A6:F3
          inet addr:10.100.20.71  Bcast:10.100.20.255  Mask:255.255.255.0
          inet6 addr: fe80::21b:c5ff:fe09:a6f3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:55112 errors:0 dropped:297 overruns:0 frame:0
          TX packets:32181 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18004058 (17.1 MiB)  TX bytes:6529135 (6.2 MiB)

root@liangbo:~# uci show dhcp
dhcp.@dnsmasq[0]=dnsmasq
dhcp.@dnsmasq[0].boguspriv=1
dhcp.@dnsmasq[0].localise_queries=1
dhcp.@dnsmasq[0].rebind_protection=1
dhcp.@dnsmasq[0].rebind_localhost=1
dhcp.@dnsmasq[0].local=/lan/
dhcp.@dnsmasq[0].domain=lan
dhcp.@dnsmasq[0].expandhosts=1
dhcp.@dnsmasq[0].authoritative=1
dhcp.@dnsmasq[0].readethers=1
dhcp.@dnsmasq[0].leasefile=/tmp/dhcp.leases
dhcp.@dnsmasq[0].resolvfile=/tmp/resolv.conf.auto   <==== 使用该文件解析域名.
dhcp.@dnsmasq[0].domainneeded=1
...

root@liangbo:~# cat /tmp/resolv.conf.auto                 <==== DHCP分配的DNS服务器
# Interface wan
nameserver 172.16.172.82
nameserver 172.16.172.83
search jiguan.hnecgc.com.cn

试图解析 oa.hnccgc.com 失败

root@liangbo:~# nslookup oa.hnccgc.com
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost
nslookup: can't resolve 'oa.hnccgc.com': Name or service not known    <=== failed

试图使用172.16.172.82 解析 oa.hnccgc.com 成功
root@liangbo:~# nslookup oa.hnccgc.com 172.16.172.82
Server:    172.16.172.82
Address 1: 172.16.172.82 bogon
Name:      oa.hnccgc.com
Address 1: 172.16.172.101 bogon   <===== successed

原因:

dnsmasq 开启了rebind protection,也就是反域名劫持保护。由于上级dns返回的地址是个私有局域网地址,所以被看作是一次域名劫持,从而丢弃了解析的结果。

解决方法:
关闭掉rebind protection就好了,具体方法是:Network==〉DHCP and DNS ==> Server settings ==> General Settings , 勾选掉 Rebind protection.

boliang319
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dnsmasqDNS劫持、DNS污染、去广告
cleanwrt的专栏
10-10 1万+
通过配置文件/etc/dnsmasq.conf实现 DNS反劫持: bogus-nxdomain=x.x.x.x x.x.x.x是劫持域名的服务器地址,可以通过ping一个不存在的域名得到。如ping fanjiechixxxxxx.com。 DNS反污染: 将会被污染的域名发送到不会污染的域名服务器 server=/talk.google.com/8.8.4.4 番羽蔷: 将被蔷
dnsmasq为某个域名配置单独的DNS.txt
03-24
dnsmasq为某个域名配置单独的DNS.txt
openwrt dnsmasq rebind_protection域名劫持保护
hewenhao2008的博客
09-08 1488
openwrt dnsmaq
简单了解DNS
最新发布
m0_60462557的博客
07-06 310
DNS是一整套从域名映射到IP的系统,名为“域名解析系统”。域名就是一串单词,来表示某个/某组IP地址。
dnsmasq possible DNS-rebind attack detected错误
weixin_30740581的博客
09-16 3765
最近在做openwrt的平台,dns使用的是dnsmasq,但是通过板子上网,将PC的dns设置成板子的时候,发现百度等都可以,但是公司邮箱打不开。公司邮箱的域名 xx-xx-notes.xxx.com.cn的形式,于是把dnsmasq的log打开看了下。终于找到问题所在。 打开dnsmasq log的方法 1. 找到/etc/dnsmasq.conf 在...
DNS重绑定DNS Rebinding攻击
03-17 752
DNS重绑定DNSRebinding攻击 在网页浏览过程中,用户在地址栏中输入包含域名的网址。浏览器通过DNS服务器将域名解析为IP地址,然后向对应的IP地址请求资源,最后展现给用户。而对于域名所有者,他可以设置域名所对...
24-Openwrt dnsmasq
u011029104的专栏
01-11 462
第二部分为请求www.taobao.com的域名信息,这时候cache里面没有,所有就转达给dns服务器,使用​​ubus call network.interface.wan status​​​可以看到dns服务器就是上面的​​10.16.8.57​​​和​​10.16.8.206​​这两个地址,然后得到reply返回值,得到淘宝的IP。uci的所有配置在官网可以看到​​http://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html​​。
域名解析DNS C#
06-05
域名解析是互联网中一个至关重要的过程,它将我们易于记忆的域名(如www.google.com)转换为IP地址,使得计算机可以找到目标服务器进行通信。在本主题中,我们将深入探讨DNS(Domain Name System)的工作原理以及...
dnsmasq 源码
11-01
此外,dnsmasq还支持自定义域名映射,可以将特定的域名解析到本地IP地址,方便进行网络服务的本地化测试。 2. **DHCP服务**:dnsmasq提供了DHCP(动态主机配置协议)功能,可以自动分配IP地址、子网掩码、默认网关...
一个批量域名解析的Shell脚本例子
04-07
1. **错误处理**:脚本可能需要处理无法解析的域名,或者因网络问题导致的查询失败。 2. **性能优化**:对于大量域名,单线程解析可能效率低下。可以通过并行化处理(如使用`xargs`或`GNU parallel`)来提高速度。 3...
Ansible-dnsmasq
02-06
dnsmasq是一个轻量级的DNS和DHCP服务器,适用于小型网络,如家庭或办公室环境,它能够为本地网络提供域名解析和IP地址分配。 **Ansible** 是一个流行的开源自动化工具,用于配置管理、应用部署和任务执行。它使用...
openwrt的双出口配置
seaship的博客
11-09 3435
家里的newifiD2原装系统,没有刷机,原本用的好好的,加了一些插件用作双出口路由还行,不过昨天突然出现故障,找不到U盘,也就不能用插件了,双出口不能用了,我自己写的路由也就不能启作用了。但没有了U盘发现手机还是能用的,就是一些其它的设备不能上网了。我觉得是DHCP中DNS的下发问题,发现设备得到DNS是192.168.99.1,在笔记本电脑上设成常用DNS就可以上网了,但问题出来了,总得解决。...
OpenWrt的两种模式:桥接模式与路由模式
热门推荐
ruiyiin的专栏
05-01 2万+
OpenWrt的两种模式:桥接模式与路由模式   1、桥接模式(Bridged AP Mode ):     通过OpenWrt 设备做桥,连接到OpenWrt的无线设备是由此网段192.168.1.0网段中的路由来分配IP地址的,所以此网段中的所有设备都是互通互连的!   OpenWrt设备的桥接配置方式:   [plain] 
家用带宽二级路由openwrt设置ipv6
fjh1997的博客
07-22 1万+
拓扑结构,中国移动家庭智能网关GS3101 + OpenWrt GCC 5.3.0 12009 GS3101 为一级主路由,是光猫直接拨号,通过GS3101到一个lan口接到openwrt的wan口。其中分配给gs3101网关的ipv6前缀是60位,二级路由获取到该前缀后,给二级路由下属设备分配的前缀是64位 gs3101网关设置如下: 默认登录用户名CMCCAdmin,密码aDm8H%MdA 我openwrt用ssh连上后用vim设置如下: 开头注释那行为路径 # /etc/config/firewa
[Openwrt] Dnsmasq DHCP server
l00102795的博客
02-02 1665
Dnsmasq是一个轻量级的,易于配置的dns转发器和dhcp服务器。它旨在为一个小型网络提供DNS和DHCP。它可以服务于不在全局DNS中的本地机器的名称。DHCP和DNS服务器集成,分配IP地址的同时下发指定的DNS服务器地址。Dnsmasq支持静态和动态的DHCP租赁,以及BOOTP用于无磁盘机器的网络引导。它已经在OpenWrt上安装和预配置了。
dns 服务不稳定,解析有问题时,解决办法
IT生涯
11-11 7038
Dnsmasq安装与配置-搭建本地DNS服务器 更干净更快无广告DNS解析 1. web服务中,dns不稳定,可以做dns缓存功能。 使用dnsmasq来缓存到本地 安装配置网址:http://www.freehao123.com/dnsmasq/
Dnsmasq安装与配置-搭建本地DNS服务器 更干净更快无广告DNS解析
weixin_34209851的博客
05-05 1240
Dnsmasq安装与配置-搭建本地DNS服务器 更干净更快无广告DNS解析文章目录Dnsmasq安装Dnsmasq配置Dnsmasq启动Dnsmasq使用Dnsmasq小结默认的情况下,我们平时上网用的本地DNS服务器都是使用电信或者联通的,但是这样也导致了不少的问题,首当其冲的就是上网时经常莫名地弹出广告,或者莫名的流量被消耗掉导致网速变慢。其次是部分网站域名不能正常被解...
dnsmasq里配置域名解析
07-28
dnsmasq中配置域名解析可以通过编辑dnsmasq.conf文件来实现。首先,打开dnsmasq.conf文件,可以使用文本编辑器打开该文件。然后,根据你的需求添加以下配置: 1. 使用strict-order配置项,确保按照resolv-file文件中的顺序从上到下进行DNS解析,直到找到第一个成功解析的为止。 ``` strict-order ``` 2. 使用listen-address配置项,指定dnsmasq监听的IP地址。可以将其设置为127.0.0.1,表示只监听本地回环地址。 ``` listen-address=127.0.0.1 ``` 3. 使用address配置项,进行泛域名解析。例如,如果要将所有以.horizontall.htb结尾的域名解析到10.10.11.105,可以添加以下配置: ``` address=/horizontall.htb/10.10.11.105 ``` 请注意,以上配置可以根据你的实际需求进行修改。完成配置后,保存并关闭dnsmasq.conf文件。然后,重新启动dnsmasq服务,使配置生效。 这样,当你访问任何以.horizontall.htb结尾的域名时,它们都会被解析到10.10.11.105。请确保将这些配置添加到正确的dnsmasq配置文件中,并且重启dnsmasq服务以使配置生效。 #### 引用[.reference_title] - *1* *2* *3* [使用dnsmasq让本地hosts泛解析](https://blog.csdn.net/qq_44881113/article/details/120607698)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值