Tengo un enrutador que ejecuta la última versión de Advanced Tomato. Al intentar acceder a un servidor en mi red doméstica (la misma red que el enrutador en cuestión), usando mi nombre de dominio (en lugar de mi dirección IP), aparece la siguiente advertencia en los registros de mi enrutador:
Jun 19 20:45:13 unknown daemon.warn dnsmasq[3844]: possible DNS-rebind attack detected: <domain_name>
Deshabilitar la protección de reenlace DNS en el enrutador soluciona el problema. ¿Hay algo que pueda hacer para solucionar este problema sin deshabilitar la protección de reenlace de DNS?
Respuesta1
Su enrutador Tomato está usando dnsmaq para resolver consultas de DNS (en realidad, para reenviarlas a un solucionador, pero no me haga caso).
dnsmasq tiene una protección incorporada que usted descubrirá. Prohíbe al solucionador ascendente devolver direcciones IP privadas. Sin embargo, puede solucionarlo solo para su caso de uso utilizando una de las --rebind-*opciones en dnsmasq (consulte la página de manual), extracto:
--rebind-localhost-ok
Exempt 127.0.0.0/8 from rebinding checks. This address range is returned by realtime black hole servers, so blocking it may disable
these services.
--rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/]
Do not detect and block dns-rebind on queries to these domains. The argument may be either a single domain, or multiple domains
surrounded by '/', like the --server syntax, eg.
--rebind-domain-ok=/domain1/domain2/domain3/
En su caso, es posible que desee considerar la opción --rebind-domain-ok=/domain_name/(reemplazar domain_namepor su nombre de dominio).