Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

3.8 alpha 1, dns-proxy: white hole

Oleg Nekrylov

Ответ от Oleg Nekrylov,

 Поделиться

Вопрос

Oleg Nekrylov Старожил

Oleg Nekrylov

Опубликовано
Опубликовано

Посоветовали написать сюда.

Прошивка 3.8a1, но это касается и всех предыдущих (релизных и отладочных) прошивок.

Схема такова:

DNS1 (xx:xx:xx:xx:xx:xx)<-->Keenetic1<-->Internet<-->Keenetic2<-->DNS2(yy:yy:yy:yy:yy:yy)

xx:xx:xx:xx:xx:xx - зоны domain1.ru (master), domain2.ru (slave)

yy:yy:yy:yy:yy:yy - зоны domain1.ru (slave), domain2.ru (master)

Хост xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy находится на "солокейшен" в "Домашней сети" (живет в ней, но к ней не относится (своего рода DMZ, но за NAT), выполняет роль web/mail/dns standalone сервера (естественно порты 53TCP/UDP, а так же остальные необходимые, прокинуты на него)

'dns-proxy intercept enable' у меня не используется

но dns-proxy все-равно лезет в трафик предназначенный хосту xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy (в секции dns-proxy, показанной ниже его нет), в итоге не работает синхронизация зон - долго не понимал в чём дело, пока не увидел в логах DNS-сервера, что в TSIG прилетает мусор и виновником сего торжества оказывается компонент dns-proxy, он подменяет оригинальный TSIG от/к удаленного(ому) DNS-сервера(у), чем-то своим.

Вот секция моего конфига:
dns-proxy
rebind-protect auto
tls upstream 1.1.1.1 853 sni cloudflare-dns.com
tls upstream 1.0.0.1 853 sni cloudflare-dns.com
https upstream https://dns.quad9.net/dns-query dnsm
https upstream https://ordns.he.net/dns-query dnsm
filter assign host preset aa:aa:aa:aa:aa:aa adguard-default
filter assign host preset bb:bb:bb:bb:bb:bb adguard-default
filter assign interface preset Guest cleanbrowsing-security
filter engine public
!

Хотелось бы что-нибудь такое: filter assign host preset xx:xx:xx:xx:xx:xx no-filter
Чтобы и остальные хосты фильтровались (особенно интересует детский фильтр) и DNS-сервер исключался из фильтрации полностью.

 

1 ответ на этот вопрос

Рекомендуемые сообщения

  • 0
Oleg Nekrylov Старожил

Oleg Nekrylov

Опубликовано
  • Автор
Опубликовано

Вот о чем речь.

У сегмента 'Домашняя сеть', по умолчанию установлен Системный профиль, в Системном профиле указаны только DNS провайдеров (2 WAN), у хоста установлено использование только системного профиля.

Но TSIG все равно изменяется! TSIG перестаёт изменяться только тогда, когда снята галка с компонента "Cloud-based Content Filtering and Ad Blocking", т.е. при удалении компонента.

2022-01-01 (3).png

2022-01-01 (4).png

2022-01-01 (5).png

2022-01-01 (6).png

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю