특정 컴퓨터에 대한 방화벽 구성을 설정하려고 합니다. 방화벽은 허용된 IP 집합을 제외한 모든 트래픽을 차단하도록 구성됩니다.
오늘 팀뷰어 서비스를 설치하라는 요청을 받았는데 모든 것이 괜찮았지만 팀뷰어는 특정 세트를 사용합니다.라우터*.teamviewer.comNAT를 통한 연결을 허용하는 중개 기계 역할을 합니다.
반면그들은 서버의 IP 또는 CIDR 세트를 공개적으로 게시하지 않습니다., 그리고 다른 공급자와의 계약에 따라 수시로 서버를 변경한다는 사실은 고정된 주소를 가지고 있지 않습니다.
제가 생각하는 방법은 두 가지입니다.
예를 들어 모든 팀 뷰어 하위 도메인 목록을 가져옵니다.*.teamviewer.com그리고 해당 DNS 항목을 확인하여 이러한 주소를 화이트리스트에 추가하세요. 그러나 SE 사이트를 검색했는데 하위 도메인 목록을 얻는 유일한 모드는 실제로 무차별 대입 공격인 것 같습니다. 아, 정말요? 아니요DNS 쿼리에 캐스팅할 수 있습니다.DNS SOA 영역해당 하위 도메인을 모두 얻으려면?
또 다른 옵션은 다음을 포함하는 모든 DNS 쿼리를 가로채는 것입니다.*.teamviewer.com, DNS 쿼리를 통해 IP를 확인하고 IP를 화이트리스트에 추가하지만 이것이 실제로 한 번에 완료될 수 있는지 확실하지 않습니다. 실제 DNS 확인 전에 DNS 패킷을 가로채서 IP 확인을 기다리게 하여 원래 쿼리 결과가 반환되면 해당 IP 주소가 이미 화이트리스트에 등록되도록 하는 것이 가능한지 잘 모르겠습니다. 이는 DNS 서버가 이상한 루프를 재생하거나 매번 다른 IP 주소로 응답하는 트래픽의 로드 밸런싱 가능성을 고려하지 않습니다.
이 접근 방식에 대한 더 나은 솔루션이 있습니까?
답변1
다음을 사용하여 dig전체 영역을 전송할 수 있습니다 .
dig AXFR my_domain @my_dns_server
DNS는 다음 옵션을 허용해야 합니다.
allow-transfer { trusted_ip; localhost;};