<div dir="ltr">Very nice, I will test this.<div><br></div><div>I am curious though: what will be used for the NS record if the auth-server configuration is omitted?</div><div><br></div><div>-m</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Sep 28, 2018 at 4:42 PM Simon Kelley <<a href="mailto:simon@thekelleys.org.uk">simon@thekelleys.org.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 28/09/18 02:33, Marc Heckmann wrote:<br>
> Hello,<br>
> <br>
> I'm currently running dnsmasq in a Docker container and have setup a<br>
> domain for which dnsmasq is to be authoritative for. This is to do<br>
> subdomain delegation to the dnsmasq server. I am using the auth-server &<br>
> auth-zone configuration options for this. This works as expected and is<br>
> verifiable using dig with the "+norecurse" option to query for the NS<br>
> and SOA records. However, as it's a Docker container, I only have and<br>
> actually need a single interface (eth0) and when I specify eth0 in the<br>
> "auth-server" option, i.e "auth-server=<glue_record>,eth0", I noticed<br>
> that it stops answering recursive queries for names that it is not<br>
> authoritative for.<br>
> <br>
> I worked around this by replacing "eth0" with an IP that is not present<br>
> in the container's network namespace and dnsmasq now does what I want<br>
> which is to answer to both non-recursive and recursive queries from the<br>
> same interface.<br>
> <br>
> My question is the following: Are there any side effects to this hack?<br>
> Is there any reason why dnsmasq should not be able to provide recursive<br>
> and authoritative service from the same interface? I can understand the<br>
> security reasons for wanting to prevent this on an Internet exposed<br>
> interface, but why not at allow for an option to officially support<br>
> providing both kinds of service on the same interface?<br>
> <br>
> Thanks.<br>
> <br>
> -m<br>
> <br>
> <br>
<br>
<br>
This patch, in the pending 2.80 release, addresses this, is allows you<br>
to omit the auth-server configuration and get both recursive and<br>
authoritative answers on the interface(s) that dnsmasq is listening on.<br>
<br>
<a href="http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=commitdiff;h=397c0502e255ea0a470982666dea93e0b2f52043" rel="noreferrer" target="_blank">http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=commitdiff;h=397c0502e255ea0a470982666dea93e0b2f52043</a><br>
<br>
<br>
<br>
Cheers,<br>
<br>
Simon.<br>
<br>
<br>
> <br>
> _______________________________________________<br>
> Dnsmasq-discuss mailing list<br>
> <a href="mailto:Dnsmasq-discuss@lists.thekelleys.org.uk" target="_blank">Dnsmasq-discuss@lists.thekelleys.org.uk</a><br>
> <a href="http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss" rel="noreferrer" target="_blank">http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss</a><br>
> <br>
<br>
<br>
_______________________________________________<br>
Dnsmasq-discuss mailing list<br>
<a href="mailto:Dnsmasq-discuss@lists.thekelleys.org.uk" target="_blank">Dnsmasq-discuss@lists.thekelleys.org.uk</a><br>
<a href="http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss" rel="noreferrer" target="_blank">http://lists.thekelleys.org.uk/mailman/listinfo/dnsmasq-discuss</a><br>
</blockquote></div>