特定のコンピューターのファイアウォール構成を設定しようとしています。ファイアウォールは、許可されたIPセットを除くすべてのトラフィックをブロックするように構成されています。
今日はチームビューアサービスをインストールするように求められましたが、すべてが大丈夫でしたが、チームビューアは特定のセットを使用します。ルーター*.teamviewer.comNATを介した接続を可能にする仲介機械として機能します。
一方彼らはサーバーのIPまたはCIDRセットを公に公開しません。、そして他のプロバイダとの契約に従って頻繁にサーバーを変更するという事実は、固定アドレスを持っていません。
私が考える方法は2つあります。
たとえば、すべてのチームビューアのサブドメインのリストを取得します。*.teamviewer.comそして、そのDNSエントリを確認してこれらのアドレスをホワイトリストに追加してください。しかし、SEサイトを検索しましたが、サブドメインのリストを取得する唯一のモードは、実際には無差別代入攻撃のようです。ああ、本当に?いいえDNSクエリにキャストできます。DNS SOAゾーンそのサブドメインをすべて取得するには?
別のオプションは、以下を含むすべてのDNSクエリを傍受することです。*.teamviewer.com、DNSクエリを介してIPを確認し、IPをホワイトリストに追加しますが、これが実際に一度に完了できるかどうかはわかりません。実際のDNS解決の前にDNSパケットを傍受し、IP解決を待機して元のクエリ結果が返された場合は、そのIPアドレスをすでにホワイトリストに登録することができるかどうかはわかりません。これは、DNSサーバーが奇妙なループを再生したり、毎回異なるIPアドレスで応答するトラフィックの負荷分散の可能性を考慮したりしません。
このアプローチに対するより良い解決策はありますか?
ベストアンサー1
以下を使用して領域dig全体を転送できます。
dig AXFR my_domain @my_dns_server
DNSは次のオプションを受け入れる必要があります。
allow-transfer { trusted_ip; localhost;};