0
Evitar IP en respuestas del bind

Open 1 Respuestas 1 Views
Tengo configurado un servidor DNS (bind9) que forwardea las consultas al DNS de mi proveedor. Por otro lado, tengo un firewall que, entre otras cosas, filtra las direcciones web consultando su base de datos online.

Lo que me está pasando justo ahora es que cuando un usuario quiere ingresar a Hotmail, el DNS me está resolviendo la dirección https://login.live.com a una IP que el firewall tiene registrada como dirección de phishing y, por lo tanto, bloquea el ingreso.

Ahora bien: el DNS resuelve la dirección login.live.com a varias IP distintas (como era de esperar):

login.live.com is an alias for login.msa.akadns6.net.
login.msa.akadns6.net has address 157.55.134.138
login.msa.akadns6.net has address 157.55.135.130
login.msa.akadns6.net has address 157.55.135.132
login.msa.akadns6.net has address 65.55.163.78
login.msa.akadns6.net has address 157.55.134.136
login.msa.akadns6.net has address 65.55.163.76
login.msa.akadns6.net has address 65.55.163.80
login.msa.akadns6.net has address 157.55.135.128

Pero sólo una de ellas está registrada como phishing (¡y es justo la que está usando el browser!) :)

La pregunta es: ¿existe alguna forma "sencilla" de indicarle al bind que NO use una determinada IP cuando se le pida resolver tal dominio? Algo así como: "cuando te pidan resolver login.live.com usá cualquier IP menos la 157.55.134.138".

Aclaración: Sé que la forma correcta de resolver esto es pedirle a Fortinet la recategorización de esa IP... pero es algo que lleva unas horas... por eso pregunto por una respuesta "sencilla" se sea tocar un archivo de configuración y reiniciar el servicio... si es más complicado, espero la recategorización y listo... :)

Otra opción sería habilitar esa IP en el firewall (independientemente de lo que diga la consulta a la base de datos), pero no quiero hacerlo por si realmente la dirección esa es de phishing... Por eso se me ocurre que la mejor opción sería bloquear esa IP y usar cualquiera de las otras, usando los mismos controles de siempre.

Espero haber sido claro... (y no estar preguntando una pavada) :)

1 Respuesta

1

Creo que tu unica solución con bind seria configurar un override de la zona login.live.com y responderla localmente quizas copiando los registros A solamente y sacando la ip rota lo solucionas, pero podes potencialmente crear otros side-effects no deseados. 

Fijate http://serverfault.com/a/630834 igualmente para mi lo mas sencillo sería que whitelistees la ip en tu firewall.

respondido por edux (10,760 puntos) Mar 15
1Comentarios
comentado por HacheEle (910 puntos) Mar 16
Es una buena opción... no se me había ocurrido resolverlo de esa forma.
Igualmente, es ciero que no parece ser más sencillo que tocar el firewall y de esa forma uno quedaría más tranquilo con el cambio.
Gracias por tu respuesta.
...