Como eu posso bloquear um subdomínio com dnsmasq?

Question

Como eu posso bloquear um subdomínio com dnsmasq?

#1 resposta do (4 votos)
#2 resposta do (3 votos)
#3 resposta do (1 votos)

7

Eu uso o dnsmasq como whitelist na minha rede. Meu arquivo dnsmasq.conf se parece com isto:

bogus-priv
domain-needed
no-resolv

server=/stackexchange.com/8.8.8.8
#etc...

Gostaria de poder bloquear um subdomínio, por exemplo:

server=/meta.stackexchange.com/0.0.0.0

Eu também tentei:

address=/meta.stackexchange.com/0.0.0.0

E para ambos eu tentei substituir 127.0.0.1 por 0.0.0.0.

Infelizmente isso não parece funcionar. Como posso bloquear um subdomínio específico ao permitir o restante do domínio no arquivo de configuração?

dns dnsmasq

por David Kennedy 20.05.2014 / 05:34

3 respostas

Tags dns dnsmasq

Linux: como obter todos os logs de login do meu sistema [closed] Como tornar os arquivos dentro do TMPFS mais propensos a trocar

score 4 · Answer 1

Por favor, não seqüestrar o DNS . Isso interfere na arquitetura de baixo nível da Internet. Quase não há aplicativos éticos de seqüestro de DNS que não seriam melhor atendidos por um appliance ou programa de firewall.

Se você quiser impedir a resolução de uma zona para um endereço, poderá editar facilmente o arquivo de hosts .

Embora dnsmasq seja capaz de atender ao tipo de resultados de DNS 'falsificados' que você descreve, o servidor dnsmasq pode ser facilmente contornado por um usuário final ou um invasor mal-intencionado acessando o host do cliente. Esse tipo de invasão de DNS é, portanto, quase incapaz de fornecer qualquer benefício à segurança.

Mais uma vez, um dispositivo de firewall configurado corretamente provavelmente serviria muito melhor se o objetivo for impedir o acesso acidental de hosts remotos maliciosos ou não confiáveis a clientes. Uma solução moderna é o OpenWRT em um Rasperry Pi, como descrito neste artigo .

score 3 · Answer 2

Com dnsmasq , isso funciona na verdade:

address=/meta.stackexchange.com/127.0.0.1

Você reiniciou o dnsmasq após a alteração?

Para detalhes sobre como configurar o dnsmasq, veja este aqui .

Nota : Como outros salientaram, você poderia usar apenas /etc/hosts

127.0.0.1    meta.stackexchange.com

score 1 · Answer 3

Você pode bloquear um site com registro de host:

host-record=meta.stackexchange.com,127.0.0.1

ou um cname:

cname=meta.stackexchange.com,blackhole.com

Mas, na verdade, ambas são maneiras bastante ineficazes de bloquear um site. Eu poderia ir para o meu arquivo /etc/hosts e corrigir o problema.