Por que o nslookup falha para os registros DNS definidos para um endereço privado?

0

Configuração

Em algumas redes, posso usar nslookup para resolver um nome de domínio apontado para um endereço IP privado:

@work> nslookup my192.ddns.net
Server:     10.1.2.3
Address:    10.1.2.3#53

Non-authoritative answer:
Name:   my192.ddns.net
Address: 192.168.20.20

No entanto, na minha rede doméstica, essa mesma consulta falha:

@home> nslookup my192.ddns.net
Server:     192.168.0.1
Address:    192.168.0.1#53

Non-authoritative answer:
*** Can't find my192.ddns.net: No answer

O que funciona

Descobri que, se eu alterar o registro de my192.ddns.net para que aponte para um intervalo de IP público, ele funcionará bem:

@home> nslookup my192.ddns.net
Server:     192.168.0.1
Address:    192.168.0.1#53

Non-authoritative answer:
Name:   my192.ddns.net
Address: 172.217.12.238

Em casa, se eu especificar o servidor DNS para nslookup ou configurar os servidores DNS do meu laptop para o nslookup do Google funciona como esperado:

@home> nslookup my192.ddns.net 8.8.8.8
Server:     8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
Name:   my192.ddns.net
Address: 192.168.20.20

Mas gostaria de continuar usando meu roteador doméstico como meu DNS principal para que ele possa resolver nomes de redes locais. Gostaria apenas que não falhasse ao tentar procurar registros DNS que apontam para endereços de intervalo privado (por exemplo: 192.168.20.20 )

Rede doméstica

Eu corro LEDE (anteriormente OpenWRT ) no meu roteador doméstico, que executa dnsmasq . Eu pesquisei a documentação do DNS e até configurei o sistema para que o servidor DNS que ele usa para resolver o endereço é do Google ( 8.8.8.8 ) - mas ainda falha e não consigo descobrir o porquê.

Pergunta

O que está acontecendo aqui e como posso corrigi-lo?

    
por cwd 14.01.2018 / 20:48

2 respostas

1

Este é um recurso do dnsmasq . As pessoas dnsmasq chamam de "religar proteção", e você pode vê-lo na opção dnsmasq manual como a opção de linha de comando --stop-dns-rebind e no LEDE doco como a opção rebind_protection .

O padrão é estar ativado. Desative-o ou adicione o domínio que deseja trabalhar ao conjunto de rebind_domain domínios permitidos.

O ataque que ele pretende impedir é aquele em que um invasor, que aproveitou o fato de seu navegador WWW baixar automaticamente e executar programas fornecidos pelo invasor do mundo como um todo, faz com que o nome de domínio xyr pareça se alternar rapidamente entre um endereço IP externo e um interno à sua LAN, permitindo que sua máquina se torne um canal entre outra máquina em sua LAN com esse endereço IP e alguns servidores de conteúdo executados por atacantes.

    
por 14.01.2018 / 22:05
1

É uma medida de segurança de alguns softwares de DNS não resolver para endereços IP privados. Eu acho que a razão para isso é impedir acessos a roteadores não seguros.

Esse problema pode ser resolvido por não usar um DNS que faz toda a solução para você, mas para configurar seu resolvedor para se conectar ao NS para aquele domínio em si.

    
por 14.01.2018 / 21:05