Ошибка OpenWRT – possible DNS-rebind attack detected

Задача:

Обеспечить доступ к Веб-серверу, находящемуся в локальной сети и имеющему внешний доступ из сети интернет.

---------------------------------------------------------------

Есть главный маршрутизатор предоставляющий доступ к сети интернет и есть ещё один который разделяет основную локальную сеть и сеть отдела. В основной локальной сети находится веб-сервер к которому сеть отдела по доменному имени не может получить доступ. Но web-server доступ из интернет и работает.

В системе мониторинга появилась ошибка с роутера. Авторизуемся на маршрутизаторе и смотрим системные логи.

В среднем 4 раза в минуту поступает сообщение об атаке

Fri Jun 12 13:25:27 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:25:36 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:25:46 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:25:59 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:26:08 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:26:31 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:26:40 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net
Fri Jun 12 13:27:03 2020 daemon.warn dnsmasq[4114]: possible DNS-rebind attack detected: osbsd.ddns.net

Это сообщение означает, что обнаруживается попытка подмены DNS, но роутер OpenWRT ее блокирует, о чём и информирует в лог-файле.

Можно отключить защиту полностью в “Network > DHCP and DNS” где ищем параметр “Rebind protection (Discard upstream RFC1918 responses)” и отключаем его.

Но более надежнее, не отключать защиту, а сделать исключение для домена. Для этого добавляем его в “Domain whitelist” и нажимаем “+”. Конечно после изменений сохраняемся и применяем настройки если это требуется.

Ну и в качестве бонуса покажу как настроить из консоли

####### Проверяем включена ли защита
root@OpenWrt:~# uci show dhcp.cfg01411c
dhcp.cfg01411c=dnsmasq
dhcp.cfg01411c.domainneeded='1'
dhcp.cfg01411c.localise_queries='1'
dhcp.cfg01411c.local='/lan/'
dhcp.cfg01411c.domain='lan'
dhcp.cfg01411c.expandhosts='1'
dhcp.cfg01411c.authoritative='1'
dhcp.cfg01411c.readethers='1'
dhcp.cfg01411c.leasefile='/tmp/dhcp.leases'
dhcp.cfg01411c.resolvfile='/tmp/resolv.conf.auto'
dhcp.cfg01411c.localservice='1'
dhcp.cfg01411c.rebind_protection='1'
####### Если значение rebind_protection=0, то включаем
####### uci set dhcp.cfg01411c.rebind_protection=1
####### Добавляем домены исключения
####### Если один домен
####### uci set dhcp.cfg01411c.rebind_domain=osbsd.ddns.net
####### Если доменов несколько
####### uci set dhcp.cfg01411c.rebind_domain='osbsd1.ddns.net osbsd2.ddns.net'
####### В нашем случае, домен один
root@OpenWrt:~# uci set dhcp.cfg01411c.rebind_domain=osbsd.ddns.net
####### аналогичные настройки, но другой командой
root@OpenWrt:~# uci set dhcp.@dnsmasq[0].rebind_domain='osbsd.ddns.net'
####### Сохраняем настройки
root@OpenWrt:~# uci commit