dnsmasq

[Artem Chuprina <ran@lasgalen.net>]

Хочу поделиться.

Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
isc-dhcpd). Про "легковеснее" молчу.

Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
promiscuous mode, и справляется с ситуацией, когда на файрволе по
данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
интерфейса вообще всё, так что нет уверенности, что достаточно было бы
разрешить по минимуму.

Судя по документации, dnsmasq теперь можно обучить практически всем
типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное —
не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
что про соответствующую атаку авторы в курсе. Просто не помню (пока было
не надо).

Чего он явно не умеет (в документации нет даже упоминания), так это
трансфера зон.

Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.

Чего, опять же, не отследил — будет ли он работоспособен без
вышестоящего _рекурсивного_ DNS-сервера. Однако,

i A dnsmasq-base Recommends dns-root-data                  

Может, конечно, он оттуда только ключи для DNSSEC хочет...