Como evitar a resolução do nome do host local dos nomes de DHCP no OpenWRT / dnsmasq

Navegue suas respostas
0

Eu tenho o OpenWRT 14.07 em execução no meu roteador doméstico. Tem serviços DNS e DHCP habilitados para os dispositivos locais da LAN.

No entanto, isso também "vaza" o nome de cada dispositivo conectado ao roteador, mesmo se conectado ao mesmo roteador por meio de um LAN diferente . Toda a rede é assim: 

OpenWRT router @ 192.168.0.1 and 192.168.222.1
 |-- LAN
 |    '-- DesktopComputer @ 192.168.0.99
 '-- Guest LAN
      '-- LaptopComputer @ 192.168.222.88

Executando qualquer um dos seguintes comandos no LaptopComputer: 

$ dig  -x  192.168.0.99 @192.168.0.1
$ nslookup 192.168.0.99  192.168.0.1

Retorna LaptopComputer.lan. como resultado.

Isso significa que dnsmasq no OpenWRT está resolvendo endereços IP internos para nomes internos com base nos nomes da negociação do DHCP. Como posso evitar isso?

Eu quero que essas resoluções inversas simplesmente falhem (ou retornem NXDOMAIN , ou seja qual for a resposta apropriada).

Eu nem mesmo uso a resolução do nome do host local, então também estou aceitando uma solução que a desativa totalmente (enquanto ainda resolve nomes da Internet).

    
por Denilson Sá Maia 01.09.2015 / 21:48

1 resposta

1

A sua opção de escolha para dnsmasq parece ser:

--dhcp-ignore-names[=tag:[,tag:]] - Ignore hostnames provided by DHCP clients.

When all the given tags appear in the tag set, ignore any hostname provided by the host. Note that, unlike dhcp-ignore, it is permissible to supply no tags, in which case DHCP-client supplied hostnames are always ignored, and DHCP hosts are added to the DNS using only dhcp-host configuration in dnsmasq and the contents of /etc/hosts and /etc/ethers.

Esta opção está disponível no dnsmasq 2.71, que faz parte do OpenWrt Barrier Breaker 14.07.

Se você não especificar nenhum host em / etc / hosts ou / etc / ethers (ou desabilitá-los completamente) nenhuma informação de nome de host deve "vazar" mais . No entanto, esteja ciente de que existem outras ferramentas como ie. Netscan, nbtscan ou todos os lotes de scanners Metasploit, que podem fornecer essas informações se não forem bem protegidos por firewall.

    
por 01.09.2015 / 23:49

Tags

Por que o Bluetooth PAN está funcionando lentamente em uma máquina, mas funciona bem em outra? O Windows Server Active Directory suporta o logon único para aplicativos saas baseados na Web?