Memblokir respons AAAA untuk domain tertentu

6

Saya di Irlandia, dan ISP saya saat ini tidak menyediakan akses IPv6 asli - bahkan jika saya ingin implementasi konsumen mereka (yang tampaknya DualStack-Lite). Jadi saya menggunakan Hurricane Electric's TunnelBroker, dengan titik akhir di Inggris, untuk jaringan rumah saya.

Kecuali saya tidak menggunakannya di jaringan utama saya, hanya pada SSID khusus, yang juga memiliki netblock IPv4 berbeda.

Ini karena Netflix rusak parah jika saya berani menggunakannya di jaringan yang mendukung IPv6. Direktori konten tampaknya menggunakan IPv6, jadi saya mendapatkan daftar UK, sementara konten itu sendiri mencoba untuk bermain di IPv4 (atau setidaknya DRM mencoba untuk geolokasi saya berdasarkan alamat IPv4).

Saya sangat senang menggunakan Netflix Irlandia di Irlandia. Saya tidak begitu senang tidak bisa menggunakan Netflix.

Saya menduga itu akan cukup untuk memblokir pencarian DNS IPv6. Saya memiliki server BIND9 yang dapat digunakan untuk beralih pencarian rekursif. (Jangan khawatir, ini bukan resolver terbuka.) Jadi saya ingin menggunakannya untuk memblokir kueri AAAA untuk netflix.com(dan subdomain).

Pada server BIND9, bagaimana cara memblokir pencarian AAAA untuk zona tertentu?

Ivan Vučica
sumber

Jawaban:

2

Saya tidak tahu apakah BIND dapat memblokir zona AAAA, tapi saya mengusulkan kepada Anda solusi lain:

Satu waktu yang lalu saya menggunakan ipv6 dan Server Wikipedia tidak berfungsi dengan baik dengan ipv6. Saya menyelesaikannya dengan membuat rute manual ke wikipedia dengan konfigurasi yang tidak terjangkau

ip route add unreachable n.et.fli.x/YY

Kemudian, Firefox secara otomatis berubah ke koneksi ipv4. Cobalah dan beri umpan balik kepada kami!

PD: Sebenarnya wikipedia bekerja dengan baik dengan ipv6

gilito
sumber
2

Di server DNS "normal" saya, saya telah menambahkan zona maju untuk domain Netflix:

zone "netflix.com" {
    type forward;
    forward only;
    forwarders { 127.0.0.1 port 55353; };
};

(Diulang untuk nflximg.com dan nflxext.com menyalin skrip filter Python yang tersedia)

Saya kemudian menjalankan bind instance kedua 127.0.0.1:55353yang memiliki konfigurasi caching saja tetapi memiliki filter-aaaa-on-v4 ya; jadi catatan AAAA dilucuti.

Hackery DNS Kotor
sumber
Pendekatan yang menarik.
CVn
1
Terima kasih - jujur, saya pikir kategori pendekatan ini adalah yang terbaik. Saya mendapat varian dari ini bekerja di pfSense - lihat reddit.com/r/PFSENSE/comments/6weauh/…
Reinderien