<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<div>
<div dir="auto">I have a situation for which extending those features would be the exact solution.
<div dir="auto"><br>
</div>
<div dir="auto">Dennis</div>
</div>
<div class="x_gmail_extra"><br>
<div class="x_gmail_quote">On Jul 4, 2021 5:21 PM, Simon Kelley <simon@thekelleys.org.uk> wrote:<br type="attribution">
</div>
</div>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">On 04/07/2021 21:32, Simon Kelley wrote:<br>
> On 30/06/2021 10:40, Kevin Darbyshire-Bryant wrote:<br>
>> As an ‘experiment’ I tried switching from my own local ‘adblocking’ solution to using an upstream adblocking resolver, eg. cloudflare’s 1.1.1.2 or 1.1.1.3 service.<br>
>><br>
>> The local adblock solution uses (multiple!) ‘—address/naughtydomain.foo/‘ lines that cause dnsmasq to return ’NXDOMAIN’ - fair enough.<br>
>><br>
>> Cloudflare (& others I’ve tested) return ‘0.0.0.0’ or ‘::’ instead, not NXDOMAIN.  With rebind protection enabled (--stop-dns-rebind), even with --rebind-localhost-ok I get log ’spam’ warning of possible rebind attacks due to the ‘0.0.0.0’ address response.<br>
>><br>
>> I can turn ‘0.0.0.0’ into NXDOMAIN by using --bogus-nxdomain=0.0.0.0 and that works fine and stops the rebind warnings.  However ‘::’ still gets through if an AAAA is specifically requested.  There is no equivalent bogus-nxdomain for ipv6.<br>
>><br>
>> The dnsmasq manpage (under —address) advised "Note that NULL addresses [0.0.0.0 & ::] normally work in the same way as localhost, so beware that clients looking up these names are likely to end up talking to themselves.”  Ideally then 0.0.0.0 & :: would
 both be turned into NXDOMAIN.<br>
>><br>
>> Should ‘0.0.0.0/32’ be excluded from the rebind checks/accepted by the ‘—rebind-localhost-ok’ option.  It’s currently being caught by a ‘0.0.0.0/8’ check.<br>
>><br>
> <br>
> I looked at the code that determines private addresses for --bogus-priv<br>
> and rebind: It's a bit unruly for IPv6, so I've rationalised things and<br>
> included :: and 0.0.0.0 in the --rebind-localhost-ok coverage, which at<br>
> least avoids the log spam.<br>
> <br>
> <br>
> I wonder if bogus-nxdomain should be extended to IPv6, or we could add<br>
> another option which is the equivalent of<br>
> <br>
> bogus-nxdomain=0.0.0.0,::<br>
> <br>
> Or both.<br>
> <br>
> Simon.<br>
> <br>
<br>
AT the least, bogus-nxdomain should be extended to IPv6, that would<br>
extend --ignore-address too, for free.<br>
<br>
<br>
In progress.<br>
<br>
Simon.<br>
<br>
_______________________________________________<br>
Dnsmasq-discuss mailing list<br>
Dnsmasq-discuss@lists.thekelleys.org.uk<br>
<a href="https://urldefense.com/v3/__https://lists.thekelleys.org.uk/cgi-bin/mailman/listinfo/dnsmasq-discuss__;!!GjvTz_vk!G5VhBaG2LcDjkUOkXosk2wo1PHeuWlbg5rEhJreyBTz0RI4-Cn81DdAnrqJqq6o$">https://urldefense.com/v3/__https://lists.thekelleys.org.uk/cgi-bin/mailman/listinfo/dnsmasq-discuss__;!!GjvTz_vk!G5VhBaG2LcDjkUOkXosk2wo1PHeuWlbg5rEhJreyBTz0RI4-Cn81DdAnrqJqq6o$</a>
<br>
</div>
</span></font>
</body>
</html>