- 0
3.8 alpha 1, dns-proxy: white hole
-
Recently Browsing 0 members
- No registered users viewing this page.
This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.
Question
Oleg Nekrylov
Посоветовали написать сюда.
Прошивка 3.8a1, но это касается и всех предыдущих (релизных и отладочных) прошивок.
Схема такова:
DNS1 (xx:xx:xx:xx:xx:xx)<-->Keenetic1<-->Internet<-->Keenetic2<-->DNS2(yy:yy:yy:yy:yy:yy)
xx:xx:xx:xx:xx:xx - зоны domain1.ru (master), domain2.ru (slave)
yy:yy:yy:yy:yy:yy - зоны domain1.ru (slave), domain2.ru (master)
Хост xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy находится на "солокейшен" в "Домашней сети" (живет в ней, но к ней не относится (своего рода DMZ, но за NAT), выполняет роль web/mail/dns standalone сервера (естественно порты 53TCP/UDP, а так же остальные необходимые, прокинуты на него)
'dns-proxy intercept enable' у меня не используется
но dns-proxy все-равно лезет в трафик предназначенный хосту xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy (в секции dns-proxy, показанной ниже его нет), в итоге не работает синхронизация зон - долго не понимал в чём дело, пока не увидел в логах DNS-сервера, что в TSIG прилетает мусор и виновником сего торжества оказывается компонент dns-proxy, он подменяет оригинальный TSIG от/к удаленного(ому) DNS-сервера(у), чем-то своим.
Вот секция моего конфига:
dns-proxy
rebind-protect auto
tls upstream 1.1.1.1 853 sni cloudflare-dns.com
tls upstream 1.0.0.1 853 sni cloudflare-dns.com
https upstream https://dns.quad9.net/dns-query dnsm
https upstream https://ordns.he.net/dns-query dnsm
filter assign host preset aa:aa:aa:aa:aa:aa adguard-default
filter assign host preset bb:bb:bb:bb:bb:bb adguard-default
filter assign interface preset Guest cleanbrowsing-security
filter engine public
!
Хотелось бы что-нибудь такое: filter assign host preset xx:xx:xx:xx:xx:xx no-filter
Чтобы и остальные хосты фильтровались (особенно интересует детский фильтр) и DNS-сервер исключался из фильтрации полностью.
1 answer to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.