<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <font size="2"><span style="font-size:11pt;">This is a request for
        feature feasibility or acceptability.<br>
        <br>
        Some circumstances may be vulnerable to DNS rebinding attacks
        against global IPv6 address. Through DHPCv6-PD the local network
        is a uniquely identifying global subnet. This makes DNS
        rebinding to a local machine on its global IPv6 as easy as
        traditional RFC1918. It would be a good idea to eliminate any
        local network IP (RFC1918 or otherwise) from global DNS
        responses. <br>
        <br>
        For dnsmasq, this could be implemented with a few options or
        option variations. One option is to rebind </span></font><font
      size="2"><span style="font-size:11pt;"><font size="2"><span
            style="font-size:11pt;">protect range </span></font>on all
        DHCP served address, if outside of the normal local IPv4/6
        ranges. Another option would add the IPv4/6 discovered on an
        interface to the rebind protection range. Granted few small
        installations (dnsmasq user base) have the cash for a global
        IPv4, but maybe implement this generically for completeness.
        This could either reuse the current option or create a new
        option. The following is just a rough concept.<br>
      </span></font><br>
    --stop-dns-rebind<br>
    without sub options, it takes its original actions<br>
    <br>
    <font size="2"><span style="font-size:11pt;"><span class="pl-s">--stop-dns-rebind=dhcp,[tag],[tag],...<br>
          add DHCPv4/v6 address into the rebind protection range. Tag is
          optional to include only include limited subnets, else all
          DHCP server ranges are added.<br>
          <br>
          --stop-dns-rebind=interface:name<br>
          uses the same method as the DHCPv6 construction to obtain the
          subnet IPv6 prefix. May not work or be implemented for IPv4.<br>
          <br>
          --stop-dns-rebind=address:ipv4/v6<br>
          just insert any address into the rebind protection range.<br>
          <br>
        </span>Notable use case: if you actually have outward facing
        servers such as http or vpn, then they should probably be on a
        unique subnet DMZ. If excluding those interfaces in the rebind
        protection (maybe =dhcp,[tag]), or running a separate dnsmasq
        instance for the subnet, then such subnet would resolve globally
        and locally without filtering.<br>
        <br>
        Eric<br>
      </span></font>
  </body>
</html>