최신 버전의 Advanced Tomato를 실행하는 라우터가 있습니다. IP 주소가 아닌 도메인 이름을 사용하여 홈 네트워크(문제의 라우터와 동일한 네트워크)에 있는 서버에 액세스하려는 시도가 실패하고 라우터 로그에 다음 경고가 표시됩니다.
Jun 19 20:45:13 unknown daemon.warn dnsmasq[3844]: possible DNS-rebind attack detected: <domain_name>
라우터에서 DNS 리바인드 보호를 비활성화하면 문제가 해결됩니다. DNS 리바인드 보호를 비활성화하지 않고 이 문제를 해결할 수 있는 방법이 있습니까?
답변1
귀하의 Tomato 라우터는 DNS 쿼리를 해결하기 위해 dnsmaq을 사용하고 있습니다(실제로는 쿼리를 확인자에게 전달하지만 신경쓰지 마세요).
dnsmasq에는 여러분이 알아낸 보호 기능이 내장되어 있습니다. 업스트림 확인자가 개인 IP 주소를 반환하는 것을 금지합니다. 그러나 --rebind-*dnsmasq(man 페이지 참조)의 옵션 중 하나를 사용하여 해당 사용 사례에 대해서만 문제를 해결할 수 있습니다. 발췌:
--rebind-localhost-ok
Exempt 127.0.0.0/8 from rebinding checks. This address range is returned by realtime black hole servers, so blocking it may disable
these services.
--rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/]
Do not detect and block dns-rebind on queries to these domains. The argument may be either a single domain, or multiple domains
surrounded by '/', like the --server syntax, eg.
--rebind-domain-ok=/domain1/domain2/domain3/
--rebind-domain-ok=/domain_name/귀하의 경우에는 옵션 ( domain_name도메인 이름으로 대체) 을 고려해 볼 수 있습니다 .