阻止RHEL上所有可能的子域的所有流量？

Question

我遇到了一个问题。本质上，我的公司使用一套安全软件对其主服务器执行查询，以检查最新的更新。然而，我们的环境，这个主机上没有互联网访问，从设计，为特定的客户的安全目的。每次该软件试图“打电话回家”时，我们都会从我们的安全小组那里得到一个安全警报，因为它试图在不应该的情况下查询/搜索家。

主要问题是，它搜索的FQDN是基于MD5散列的，所以每次都是不同的子域，所以第一次可能是5215-af.domain.com，第二次类似gz5q-fjs.domain.com。因此，我不能只是简单地编辑/etc/host文件。

那么，如何阻止域和所有可能的子域呢？我想将所有内容路由回本地主机，因为DNS服务器本身就是触发警报的原因，而主机仍然需要DNS服务器来告诉它本地的事情(在云环境中，新主机一直在旋转，所以我需要DNS)。

Answer 1

只是更新一下，我用dnsmasq解决了这个问题。

地址=/domain.com/127.0.0.1

然后，我首先将resolve.conf更改为使用名称服务器127.0.0.1。

最后，我禁用了对resolve.conf进行更改的DHCP。

Answer 2

不是完美的解决方案，但你可以尝试一下string与iptables的匹配，

     iptables -t nat -A OUTPUT -p udp --dport 53 \
     -m string --hex-string "domain|03|com" --algo bm \
     -j REDIRECT

     iptables -t nat -A OUTPUT -p tcp --dport 53 \
     -m string --hex-string "domain|03|com" --algo bm \
     -j REDIRECT

此规则将任何子域"domain.com“的domain.com请求重定向到localhost，条之间的数字是后面字符串的长度，而不是DNS协议编码字符串时的句号。