openwrt 的 dnsmasq 似乎过滤掉了内网解析?

2022-04-12 13:39:27 +08:00
 phpfpm

为了避免 X-Y Problem ,我说下我的原始需求:

想把*.foo.lan 都解析到 foo 对应的机器上,但是 dnsmasq 没有实现*的解析,退而求其次。

在阿里云的 dns 平台,把

*.foo.example.org 都解析到 foo 机器的 lanip 上

表现:

  1. 在外网访问 bar.foo.example.org 是正确的
  2. 在内网得不到解析结果
  3. 试了几次,只要解析到 192.168.0.0/16 10.0.0.0/8 的都解析不到
  4. 但是 local 的是可以的,127.0.0.0/8 是没问题的

求点解是哪个配置没做对

2229 次点击
所在节点    OpenWrt
8 条回复
hua123s
2022-04-12 13:42:25 +08:00
最近我也遇到这个问题了,头疼,最后暂时写到路由器的 hosts 里面应对下。
有大佬有解?
phpfpm
2022-04-12 13:49:07 +08:00
@hua123s 但是我是想做一个 nginx 的动态网关(访问另外一个子网的代理)所以感觉还是动态 ip 好一些。
springz
2022-04-12 13:56:42 +08:00
这是内置的一个安全特性,防火墙那里可以关掉,大部分路由或者防火墙都有。
springz
2022-04-12 13:58:14 +08:00
openwrt 的叫重绑定保护,在网络 -> DHCP/DNS 常规设置里。
springz
2022-04-12 13:58:38 +08:00
@hua123s @phpfpm
cloverstd
2022-04-12 13:58:39 +08:00
在 DHCP/DNS 设置里面,搜 RFC1918 ,勾去掉
hua123s
2022-04-12 14:00:41 +08:00
@springz
@cloverstd 谢谢大佬,丢弃 RFC1918 上行响应数据 这个勾取消就好了。
phpfpm
2022-04-12 14:36:16 +08:00
@springz
@cloverstd

mark !!感谢,搞定!!!!

还认真学习了一下 RFC1918 ,大概看明白了。


其实这么做是有道理的:

上一级 dns 服务商通过 dns 投毒的方式可以攻击内网的某个机器,这玩意看起来就很鬼扯。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/846507

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX