OpenWrt & iptv.t-home.hu

Adott egy otthoni hálózat több openwrt-s routerrel, aminek a dhcp/dns kiszolgálását az egyik router látja el. A netet, tévét és a telefont egy císco EPC3925 adja.
Habár a tévé működik, az iptv egyébb szolgáltatásai, nem mennek, mint a netrádió, videotéka meg ilyesmi.

Az Openwrt a system logba nyomja a hibaüzeneteket, orba-szájba.

Pl.: 

Wed May 11 10:36:46 2016 daemon.warn dnsmasq[2606]:
    possible DNS-rebind attack detected: cache-intra.agw.tmo.hu

Összegyűjtöttem a hibát adó url-eket, eddig csak 3 jött össze :))

lást:
* iptv.t-home.hu
* iptv.t-online.hu
* agw.tmo.hu

ezeket az url-eket hozzáadtam a openwrt-ben a Network -> DHCP and DNS menüpontjában a Domain whitelist-hez
és
a DNS forwardings-hoz

az utóbbihoz igy!:
* /iptv.t-home.hu/195.56.77.76
* /iptv.t-home.hu/195.228.240.85
* /iptv.t-online.hu/195.56.77.76
* /iptv.t-online.hu/195.228.240.85
* /agw.tmo.hu/195.56.77.76
* /agw.tmo.hu/195.228.240.85

csak hogy ne kóvályogjon össze-vissza a neten a dns request, mivel ezek localis ip-t adnak vissza.

Pl.: 


$ dig app01-intra.prod.iptv.t-home.hu

; <<>> DiG 9.10.3-P4-Ubuntu <<>> app01-intra.prod.iptv.t-home.hu
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7560
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;app01-intra.prod.iptv.t-home.hu. IN	A

;; ANSWER SECTION:
app01-intra.prod.iptv.t-home.hu. 86400 IN A	10.1.133.231

;; AUTHORITY SECTION:
t-home.hu.		86400	IN	NS	ans0.t-online.hu.
t-home.hu.		86400	IN	NS	ans1.t-online.hu.

;; ADDITIONAL SECTION:
ans0.t-online.hu.	86400	IN	A	195.228.240.85
ans1.t-online.hu.	86400	IN	A	195.56.77.76

;; Query time: 9 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed May 11 11:25:49 CEST 2016
;; MSG SIZE  rcvd: 155

és épp ez a visszatérési cím állítja elő ezt a zavart, ill a dnsmasq védelmi rendszere támadásnak veszi, a lokális visszatérési címet.

A végeredmény az openwrt-ben 


root@OpenWrt:~# cat /tmp/etc/dnsmasq.conf 
# auto-generated config file from /etc/config/dhcp
conf-file=/etc/dnsmasq.conf
dhcp-authoritative
domain-needed
filterwin2k
strict-order
read-ethers
bogus-priv
expand-hosts
local-service
domain=local.lan
server=/local.lan/192.168.0.254
server=/iptv.t-home.hu/195.56.77.76
server=/iptv.t-home.hu/195.228.240.85
server=/iptv.t-online.hu/195.56.77.76
server=/iptv.t-online.hu/195.228.240.85
server=/agw.tmo.hu/195.56.77.76
server=/agw.tmo.hu/195.228.240.85
server=4.4.4.4
server=8.8.8.8
addn-hosts=/etc/hosts
dhcp-leasefile=/tmp/dhcp.leases
resolv-file=/tmp/resolv.conf.auto
addn-hosts=/tmp/hosts
conf-dir=/tmp/dnsmasq.d
stop-dns-rebind
rebind-domain-ok=iptv.t-home.hu
rebind-domain-ok=iptv.t-online.hu
rebind-domain-ok=agw.tmo.hu
dhcp-broadcast=tag:needs-broadcast

dhcp-host=10:c3:7b:**:**:**,192.168.0.50,server
dhcp-host=24:76:7d:**:**:**,192.168.0.1,cisco
dhcp-host=f4:ec:38:**:**:**,192.168.0.254,router
dhcp-host=74:ea:3a:**:**:**,192.168.0.253,router1
dhcp-host=74:ea:3a:**:**:**,192.168.0.252,router2
dhcp-host=2c:ab:a4:**:**:**,192.168.0.151,t-home-stb-1
dhcp-host=f4:4b:2a:*:**:**,192.168.0.152,t-home-stb-2
dhcp-host=2c:ab:a4:**:**:**,192.168.0.153,t-home-stb-3
dhcp-host=e0:cb:4e:**:**:**,192.168.0.154,oplay
dhcp-host=1C:4B:D6:**:**:**,192.168.0.155,oplayw

dhcp-range=lan,192.168.0.100,192.168.0.249,255.255.255.0,48h

Eddig jó, de azt hiszem lesz még egy-két ilyen hülye url lokális címmel. Meglátjuk. :))