Recentemente adicionei várias VLANs à rede do meu laboratório. Enquanto alguns deles foram colocados em prática para propósitos puramente administrativos, há também uma VLAN convidada que eu gostaria de manter completamente separada do resto da rede.
Eu uso dnsmasq para DNS e DHCP, e a configuração com várias VLANs funciona perfeitamente. Também iptables faz sua tarefa de impedir a comunicação entre a VLAN guest e todas as outras, mas há um problema com dnsmasq : consultas DNS (diretas e inversas) sobre máquinas não pertencentes à VLAN convidada são respondidas corretamente por dnsmasq aos usuários da VLAN convidada.
Certamente, para que as consultas funcionem é necessário conhecer a sub-rede das outras VLANs, ou os nomes das máquinas, e também iptables mantém as várias VLANs isoladas umas das outras. Mas ainda sinto que um atacante determinado pode facilmente descobrir que existem outras sub-redes, quais são os seus intervalos de IP, e pode adivinhar alguns dos nomes das máquinas, o que, infelizmente, pode enfraquecer a minha configuração.
Existe qualquer opção em dnsmasq para configurá-lo para responder apenas a consultas sobre a rede privada a partir da qual a consulta está chegando (mais consultas do curso sobre endereços públicos) ? Ou, em outras palavras: pode o dnsmasq ser configurado de forma a eliminar consultas sobre sub-redes privadas diferentes ?