fritz! box не отвечает на правила dnsmasq, которые указывают на IP-адреса в пределах 192.168.178. ### range

0

Для обеспечения лучшего мониторинга моей домашней сети (родительский контроль) я попытался настроить Raspberry Pi с помощью dnsmasq и добавил в некоторые правила dnsmasq.conf, что в основном сводится к следующему:

address=/filtered.website/192.168.178.49

Я настроил это, и пока я использую IP-адреса, которые находятся за пределами диапазона 192.168.178. ###, все работает отлично. Теперь я планировал связать эти веб-сайты локальным предупреждением, чтобы не только браузер отображал ошибку, но и пользователь получал предупреждение.

Чтобы обработать все запросы DNS через Pi, я использовал настройки Fritz! Box и установил для основного и дополнительного DNS-сервера адрес Pi. Все разрешается как требуется, кроме доменов, которые, таким образом, разрешаются в мою локальную сеть. Мой маршрутизатор просто пытается «защитить меня» от сайтов, перенаправляющих в мою локальную сеть, или что случилось?

Спасибо за ваше время и помощь!

Себастьян А.
источник
Требуется больше деталей. То есть вы заменяете IP-адреса заблокированных сайтов? На клиентах они разрешают правильно на ваши новые IP-адреса через пинг? Если да, то уверены ли вы, что адрес 192.168.178. ###, который они возвращают, принадлежит Pi, и он работает на веб-сервере, который будет правильно принимать все имена сайтов? Что произойдет, если вы вручную перейдете на этот IP-адрес из одного из клиентских браузеров?
Дейв С

Ответы:

1

Я думаю, что нашел решение проблемы, с которой столкнулся сам: Fritz! Box фактически пытается защитить вас от доменных имен, которые попадают в вашу домашнюю сеть.

Я цитирую http://service.avm.de/support/en/SKB/FRITZ-Box-7360-int/1274:No-DNS-resolution-of-private-IP-addresses :

Из соображений безопасности DNS-разрешение частных IP-адресов не разрешается.

Если на DNS-запрос от DNS-сервера в Интернете отвечает IP-адрес из домашней сети FRITZ! Box, FRITZ! Box не пересылает этот DNS-запрос сетевому устройству. Это функция безопасности FRITZ! Box, защищающая вас от так называемых «атак перепривязки DNS».

Если у кого-то еще есть идеи, как обойти эту проблему или отключить эту функцию, я был бы рад увидеть их.

Себастьян А.
источник
1

Как уже было сказано, это функция безопасности. Исключения для локальных IP-адресов можно определить, настроив маршрутизатор.

Настройка FRITZ! Box

  1. Переключитесь на «Расширенный вид».
  2. Нажмите «Домашняя сеть» в пользовательском интерфейсе FRITZ! Box.
  3. Нажмите «Сеть» в меню «Домашняя сеть».
  4. Перейдите на вкладку «Настройки сети».
  5. Введите имя домена, для которого защита от повторного связывания DNS> не должна применяться в поле «Исключения доменного имени». Если вы хотите ввести несколько доменных имен в качестве исключений, отделите доменные имена друг от друга с помощью разрыва строки.
  6. Нажмите «Применить», чтобы сохранить настройки.
Клаус
источник
1

Ключевой частью является «за исключением доменов, которые, таким образом, переходят в мою локальную сеть».

У меня была та же самая проблема, и это исправило это.

FritzBox имеет функцию безопасности, которую нужно переопределить.

Все, что вам нужно сделать, это добавить свой домен в список исключений. Следуйте инструкциям в следующей ссылке.

http://en.avm.de/nc/service/fritzbox/fritzbox-7390/knowledge-base/publication/show/663_No-DNS-resolution-of-private-IP-addresses/

Также вам может потребоваться обновить прошивку, чтобы опция появилась.

Версия прошивки: 84.05.51

С уважением

nslntmnx
источник
0

Я вижу два варианта для вас.

Вариант 1 - изменение параметра dnsmasq на fritzBox

Я не являюсь владельцем FritzBox, но если, как и многие другие маршрутизаторы, это usinf dnsmasq, вы обычно можете использовать одну из опций dnsmasq, связанных с перепривязкой DNS, см. Справочную страницу или вот важная часть:

--rebind-localhost-ok
Освободить 127.0.0.0/8 от повторных проверок. Этот диапазон адресов возвращается серверами черной дыры в реальном времени, поэтому блокировка может отключить эти службы.
--rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/]
Не обнаруживать и не блокировать dns-rebind при запросах к этим доменам. Аргументом может быть либо один домен, либо несколько доменов, окруженных символом /, например, синтаксис --server, например. --rebind-домен-ок = / domain1 / domain2 / DOMAIN3 /

Вы можете видеть, что опция --rebind-localhost-okкак бы создана для черной дыры DNS, которую вы хотите создать. Однако вы не можете использовать эту опцию, чтобы ответить на что-то еще, кроме адреса обратной связи. Так что это может не соответствовать вашим потребностям.

Обратите внимание, что я понятия не имею, если с помощью FritzBox вы можете где-то переопределить параметры dnsmasq.

Вариант 2 - изменение настроек DHCP DNS на маршрутизаторе

Если вы не можете изменить параметры dnsmasq на FritzBox, тогда у вас все еще есть другой вариант. В настройках DHCP на FritzBox установите там запись DNS, чтобы она указывала на Raspberry Pi. В настоящий момент клиент запрашивает DHCP-адрес вашего маршрутизатора, маршрутизатор отвечает IP-адресом, шлюзом (IP-адрес маршрутизатора для доступа в Интернет) и DNS (я уверен, что это снова IP-адрес маршрутизатора). Теперь, когда ваш клиент запрашивает доменное имя, оно пересылается на ваш маршрутизатор DNS-сервер пересылки, который пересылает его вашему Pi, а затем обратно.
Если вы сделаете предлагаемое изменение, ваши клиенты получат IP-адрес DNS от вашего Raspberry Pi во время транзакции DHCP напрямую. Так что вы больше не будете получать предупреждение о повторной привязке :-)

PS: есть также проект под названием Pi-Hole, который может вам помочь.

PS2: редактировать после проверки проекта Pi-Hole, кто-то предложил в выпуске мой вариант 2 в качестве разрешения для использования Pi-Hole и FritzBox. https://github.com/pi-hole/pi-hole/issues/1271#issuecomment-282295061, поэтому я полагаю, что вариант 2 является рекомендуемым решением.

Гюйгенс
источник