Я обнаружил, что если я пытаюсь получить доступ к веб-службе, внутренней в моей домашней сети, то Chrome не может правильно разрешить URL-адрес. Например, если я попытаюсь перейти на свой сервер Plex, используя его полное доменное имя; plex.mydomain.com. Это происходит только в том случае, если включена настройка «Безопасный DNS». Похоже, что он направляет мои веб-запросы на DNS-сервер за пределами моей сети. Вместо того, чтобы перенаправить меня на веб-интерфейс моего сервера Plex, я фактически буду перенаправлен на страницу на моем маршрутизаторе pfsense с сообщением об ошибке, предупреждающим о потенциальной атаке DNS Rebinding.
Я использую свой внутренний DNS-сервер. Это просто сервер Windows 2012r2. Все в моей внутренней сети направлено на этот сервер, который настроен на пересылку запросов на DNS-сервер Google для записей, о которых он не знает.
Мне нравится идея использования Secure DNS (или DNS через HTTPS). Но я не могу использовать его по вышеуказанной причине. Мне интересно, если бы я настроил свой внутренний DNS-сервер на поддержку DNSSEC, это могло бы решить проблему. Я думаю, мне также нужно было бы настроить параметры Chrome, чтобы использовать свой внутренний DNS-сервер для его службы Secure DNS. Все это звучит правильно?
Кто-нибудь еще наблюдал эту проблему?
решение1
Вам необходимо включить поддержку DNS-over-HTTPS на вашем DNS-сервере, чтобы это работало. Если ваш локальный DNS-сервер не поддерживает DoH, Chrome автоматически обновит запрос и обойдет ваши локальные настройки DNS, а также будет использовать предпочтительные DoH-серверы Google. К сожалению, Microsoft DNS в настоящее время не предлагает этого.
Предположим, что у вас настроен публичный DNS для plex.mydomain.com, то, что происходит для вас, так это то, что Chrome проверяет, поддерживает ли ваш DNS-сервер Windows DoH. Chrome видит, что нет, затем отправляет запрос на 8.8.8.8 с помощью DoH, который разрешает ваш публичный IP. Затем ваш клиент пытается подключиться к вашему публичному IP, а не к внутреннему, и pfsense блокирует то, что можно считать атакой перепривязки. Если вы используете настольный компьютер, а не ноутбук, которому иногда нужно подключаться извне, вы можете обойти это, добавив локальный IP вашего сервера Plex в файл hosts. Обычно записи в файле hosts никогда не попадают в DNS уровня ОС. Но учитывая, что Chrome уже заменяет свой собственный DNS-резолвер, вам может не повезти с этим.
Дополнительная информация о работе DoH в Chrome: https://www.chromium.org/developers/dns-over-https
Конкретно с этой страницы:
- В Chrome будет таблица для сопоставления не-DoH DNS-серверов с их эквивалентными DoH DNS-серверами.
- Согласно этой таблице, если известно, что рекурсивный резолвер системы поддерживает DoH, Chrome обновится до версии DoH этого резолвера. Другими словами, это обновит протокол, используемый для разрешения DNS, при этом DNS-провайдер пользователя останется неизменным. Также важно отметить, что DNS через HTTPS не запрещает его оператору предлагать такие функции, как фильтрация для семейного использования.
- На некоторых платформахэто может означать, что если раньше Chrome использовал API разрешения DNS ОС, то теперь он использует собственную реализацию DNS для реализации DoH..
- Будет доступна групповая политика, позволяющая администраторам отключать эту функцию по мере необходимости.
- Конечные пользователи смогут управлять функцией со страницы настроек (например, отключать, автоматически обновлять, выбирать или указывать конкретного поставщика)