Как предотвратить разрешение локального имени хоста из имен DHCP в OpenWRT/dnsmasq

Question

У меня на домашнем роутере работает OpenWRT 14.07. Службы DNS и DHCP включены для устройств локальной сети.

Однако это также "утечка" имени каждого устройства, подключенного к маршрутизатору, даже если он подключен к одному и тому же маршрутизатору через другую локальную сеть. Вся сеть выглядит так:

OpenWRT router @ 192.168.0.1 and 192.168.222.1
 |-- LAN
 |    '-- DesktopComputer @ 192.168.0.99
 '-- Guest LAN
      '-- LaptopComputer @ 192.168.222.88

Выполнение любой из следующих команд на LaptopComputer:

$ dig  -x  192.168.0.99 @192.168.0.1
$ nslookup 192.168.0.99  192.168.0.1

Возвращает LaptopComputer.lan. в результате.

Это означает, что dnsmasq в OpenWRT разрешает внутренние IP-адреса во внутренние имена на основе имен из согласования DHCP. Как я могу предотвратить это?

Я хочу, чтобы такие обратные разрешения просто терпели неудачу (или возвращали NXDOMAIN , или любой другой подходящий ответ).

Я даже не использую локальное разрешение имен хостов, поэтому я также принимаю решение, которое полностью его отключает (при этом разрешая имена в Интернете).

Answer 1

Ваш вариант выбора для dnsmasq выглядит так:

--dhcp-ignore-names [= tag:[, tag:]] - игнорировать имена хостов, предоставляемые клиентами DHCP.

Когда все заданные теги появляются в наборе тегов, игнорируйте любое имя хоста, предоставленное хостом. Обратите внимание, что, в отличие от dhcp-ignore, допустимо не указывать теги, и в этом случае имена хостов, предоставленные DHCP-клиентом, всегда игнорируются, и хосты DHCP добавляются в DNS с использованием только конфигурации dhcp-host в dnsmasq и содержимого /etc /hosts и /etc /ethers.

Эта опция доступна в dnsmasq 2.71, который является частью OpenWrt Barrier Breaker 14.07.

Если вы не указали хосты в /etc/hosts или /etc/ethers (или полностью отключили их использование), никакая информация об имени хоста больше не должна "просачиваться". Тем не менее, имейте в виду, что это другие инструменты, такие как, например. Netscan, nbtscan или целый ряд сканеров Metasploit, которые могут предоставить эту информацию, если они не защищены брандмауэром.