В Fri, 09 Mar 2018 18:50:22 +0300
Artem Chuprina <r...@lasgalen.net> пишет:
> Хочу поделиться.
>
>
> Судя по документации, dnsmasq теперь можно обучить практически всем
> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
> торчащий наружу. Хотя он вообще-то придуман не для этого.
Ну мы его примерно так используем, только не совсем наружу. а для
всяких внутриофисных доменов, состоящих их виртуальных машин.
> Единственное — не помню, можно ли ему объяснить, что наружу можно
> отдавать запросы по своей зоне, но нельзя делать рекурсивные. Скорее
> всего, можно, потому что про соответствующую атаку авторы в курсе.
> Просто не помню (пока было не надо).
>
> Чего он явно не умеет (в документации нет даже упоминания), так это
> трансфера зон.
Как нет упоминания?
--auth-sec-servers=<domain>[,<domain>[,<domain>...]]
Specify any secondary servers for a zone for which dnsmasq is
authoritative. These servers must be configured to get zone data
from dnsmasq by zone transfer, and answer queries for the same
authoritative zones as dnsmasq.
--auth-peer=<ip-address>[,<ip-address>[,<ip-address>...]]
Specify the addresses of secondary servers which are allowed to
initiate zone transfer (AXFR) requests for zones for which dns‐
masq is authoritative. If this option is not given, then AXFR
requests will be accepted from any secondary.
То есть ОТДАВАТЬ зону посредством zone transfer он умеет и еще как.
--
Victor Wagner <vi...@wagner.pp.ru>
