Nossa sub-rede de escritório é 10.1.10.0/24.
Eu tenho um gateway (10.1.10.1) que está encaminhando solicitações DNS para um servidor executando o DNSmasq (10.1.10.2). Eu tenho um túnel IPsec para a rede da nossa controladora (10.2.2.0/24).
No resolv.conf em 10.1.10.2, eu especifiquei dois (2) servidores de nomes, 8.8.8.8 (DNS do Google) e 10.2.2.2 (DNS da empresa controladora).
Meu problema é que 10.2.2.2 também presta serviços a outro 10.1.10.0/24.
Isso significa que, às vezes, pesquisas reversas de DNS retornam nomes de host no estrangeiro 10.1.10.0/24 em vez de nossa rede interna. Podemos ver isso usando ferramentas como dig ou scanners IP. Além disso, às vezes o nosso bash do OS X solicita o hostname errado.
Portanto, minha solução proposta seria direcionar todas as pesquisas de DNS reverso para endereços dentro da tabela de consulta interna de 10.1.10.0/24 a 10.1.10.2, mas não sei como fazer isso, ou se essa é a solução certa.
Devo observar que não tenho controle sobre 10.2.2.2.
EDIT: Eu encontrei outra solução possível. Vou testá-lo antes de adicioná-lo como resposta. Assumindo 10.1.10.1 usa DNSmasq, eu posso adicionar especificar a opção --bogus-priv. Como o 10.1.10.1 também é nosso servidor DHCP, ele deve retornar "nenhum domínio desse tipo" para consultas DNS reversas de hosts em 10.1.10.0/24 que não estejam no arquivo de concessões DHCP.
Usando a opção dnsmasq --bogus-priv funcionou para mim. Como 10.1.10.1 também é nosso servidor DHCP, ele retorna "nenhum domínio desse tipo" para consultas DNS reversas de hosts em 10.1.10.0/24 que não estejam no arquivo de concessões DHCP.
Do dnsmasq (8):
-b, --bogus-priv Bogus private reverse lookups. All reverse lookups for private IP ranges (ie 192.168.x.x, etc) which are not found in /etc/hosts or the DHCP leases file are answered with "no such domain" rather than being forwarded upstream.
Tente isto: configure um servidor DNS que irá servir revs adequadamente (e qualquer outra coisa que você queira), mas irá encaminhar o resto para 10.2.2.2. Eu suponho que você pode mudar o DNS de 10.2.2.2 para 10.1.10.2 em máquinas clientes. Se você não puder fazer isso, pegue o tráfego de rede para 10.2.2.2 em um roteador e redirecione-o (exceto 10.1.10.2, é claro). Isso deve funcionar de forma transparente.