可以在 conf 文件中做这样的事情来阻止 wan 站点:
address=/verystrangesite.com/127.0.0.1
因此,如果用户试图在我的访客 lan 上尝试一些不那么有趣的事情,他会收到 ERR_CONNECTION_REFUSED。
不幸的是,这不适用于内部站点(路由器、网关、hwfw、ip cam),至少如果它们只能通过 IP 访问(不知道如果我有类似 my-ip.com 的东西而不是它是否有效) 172.16.1.54)。我试过的是这样的:
address=/172.16.1.2/127.0.0.1
那么,您知道实现这一目标的正确语法吗?
先感谢您
托拜厄斯
没有正确的语法来实现这一点。
dnsmasq 只是一个 DNS 服务器——它不位于所有网络流量的中间,它只是响应 DNS 查询并将域名转换为 IP 地址。您的 dnsmasq 示例不会阻止站点,它们只是欺骗 DNS 查询结果(并且仅当客户端完全使用您的 DNS 时)。
试图通过 IP 地址直接访问网站的客户端首先不会使用DNS 来解析它——地址已经被“预解析”了,可以这么说。因此,没有可能影响此类连接的 dnsmasq 配置。
相反,要通过 IP 地址阻止任意主机,请在路由器的防火墙中执行此操作(Linux iptables/nft/ferm,BSD pf)。要生成“连接被拒绝”错误消息,请添加将“拒绝”连接的防火墙规则: