dnsmasq lê a configuração do addn-hosts, mas a ignora e volta para o /etc/hosts do sistema

Olá e bem-vindo ao ServerFault, vrs! (Esta é minha primeira resposta e, creio, sua primeira pergunta?)

Você fez um bom trabalho ao descrever a situação, mas pode ser mais específico ao testar a resolução de nomes que está vendo. Você possui dig ou nslookup como ferramentas de linha de comando em seu sistema? Nesse caso, use-os para consultar diretamente o servidor de nomes na máquina, em vez de fazer qualquer coisa que você tenha feito.

Mas quando tento acessar domínios dos arquivos hosts addn-hosts, eles não são resolvidos para 0.0.0.0 como seria de esperar. Esses arquivos hosts parecem ser ignorados.

Estou vendo que você não tem um servidor de nomes upstream definido em sua configuração (e ainda assim, obviamente, você está usando um servidor de nomes upstream). Suspeito que a resolução para os domínios na lista negra vem, na verdade, de seu upstream. Portanto, a primeira pergunta que faço é: minha instância dnsmasq local responde corretamente?

Aqui está o que o sucesso significa para mim:

tai@fay:~ $ dig adserver.com          

; <<>> DiG 9.16.44-Raspbian <<>> adserver.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18567
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;adserver.com.                  IN      A

;; Query time: 259 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 31 16:12:15 EST 2023
;; MSG SIZE  rcvd: 41

Observe que o campo SERVER: da penúltima linha me garante que estou perguntando ao meu servidor local. Você pode especificar um nome de servidor ou endereço IP após a pergunta desta forma, o que mostra uma resolução normal (que é o que não queremos neste caso):

tai@fay:~ $ dig adserver.com @8.8.8.8      

; <<>> DiG 9.16.44-Raspbian <<>> adserver.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23032
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;adserver.com.                  IN      A

;; ANSWER SECTION:
adserver.com.           5400    IN      A       159.127.40.163

;; Query time: 119 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Dec 31 16:11:57 EST 2023
;; MSG SIZE  rcvd: 57

(Este sistema que estou usando aqui é bastante semelhante à sua configuração, mas 1) é uma máquina DNS/DHCP dedicada e 2) não tenho a complicação adicional de modularizar meu dnsmasq através do NetworkManager.)

O DNS pode ficar bastante complicado em situações como essa e não estou surpreso que nem você nem eu possamos ver imediatamente qual é o problema. Tente investigar especificamente o seu dnsmasq local e também adicione alguns detalhes sobre onde a resolução está ocorrendo, se não for no seu dnsmasq!

Obrigado por fazer uma boa pergunta. :)

Problema resolvido graças aos ótimos conselhos de @Tai Viinikka !

TLDR; Um servidor DNS dnsmasqexecutado em localhost não significa necessariamente que seja usado pelo NetworkManager, mesmo que isso /etc/resolv.confseja explicitamente indicado; Se a sua máquina local estiver usando o servidor DHCP do seu roteador, você também obteve as configurações do servidor DNS.

TIL; digusa um servidor DNS /etc/resolv.confpor padrão, mesmo que uma conexão gerenciada pelo NetworkManageruse o endereço do servidor DNS obtido do DHCP; daí a diferença como dige, digamos, curlresolver o mesmo nome de host.

Solução de problemas:

1. Verifique se o DNS do meu host local dnsmasqestá realmente funcionando conforme o esperado:

# dig or nslookup a host from my addn-hosts's hosts file
$ dig 1.example.com
[...]
;; ANSWER SECTION:
1.example.com.      0   IN  A   0.0.0.0
[...]
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)

Nome do host resolvido 0.0.0.0(conforme indicado pelo addn-hostsarquivo hosts) pelo 127.0.0.1( dnsmasqservidor DNS local) conforme esperado.

Por que então todas as solicitações de curlum navegador para o mesmo nome de host foram resolvidas não pelo meu DNS local de dnsmasq, mas, obviamente, por outro DNS upstream, apesar de /etc/resolv.conf dizer:

cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 127.0.0.1
options edns0 trust-ad

Isso significa que algo está substituindo as configurações de DNS. Devemos serNetworkManager

2. Verifique o que NetworkManagerestá usando como DNS:

$ nmcli device show | grep -i dns
IP4.DNS[1]:                             192.168.0.1
IP6.DNS[1]:                             2a02:8383:d:c::1000
IP6.DNS[2]:                             2a02:8383:d:c::1

Na verdade, em vez do que /etc/resolv.confdiz, NetworkManagerusa os endereços DNS do meu roteador WiFi. Isso ocorre porque uma conexão WiFI na minha máquina local usa as DHCPconfigurações do roteador.

3. Configure servidores DNS upstream emdnsmasq

Antes de corrigir o DNS usado pelo NetworkManager, precisamos adicionar algum DNS upstream que será usado quando os arquivos hosts forem verificados. Esta é a dnsmasqaparência de toda a minha configuração agora:

$ cat /etc/NetworkManager/dnsmasq.d/00-add-hosts.conf

# NB! When making changes, don't forget restart dnsmasq & NetworkManager.service:
# $ killall dnsmasq
# $ systemctl restart NetworkManager

# No need to read /etc/resolv.conf as it contains the localhost
# addresses of dnsmasq itself
no-resolv

# Upstream DNS servers
# My router, Google, CloudFlare
server=192.168.0.1
server=8.8.8.8
server=1.1.1.1

# Add debug logging
# $ journalctl --follow -u NetworkManager
log-queries

# Ignore /etc/hosts
no-hosts

# Add custom hosts files; 
# If path is a directory, all files from it are loaded
addn-hosts=/etc/hosts.d

4. Corrija os servidores DNS nas NetworkManagerconfigurações de conexão de:

Abra nm-connection-editor(ou Configurações -> WiFi -> Rede à qual você está conectado Configurações) e então IPv4:

• Método -> Somente endereços automáticos (DHCP)
• Servidor DNS -> 127.0.0.1 (em vez de automático)

então para IPv6:

• Método -> Automático, somente DHCP (cuidado, é diferente de IPv4)

Isso corresponde às mudanças em /etc/NetworkManager/system-connections/YOUR-CONNECTION-NAME.nmconnection:

[ipv4]
dns=127.0.0.1;
ignore-auto-dns=true
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns=::1;
ignore-auto-dns=true
method=dhcp

Agora, reinicie o dnsmasqe o NetworkManager:

$ sudo killall dnsmasq
$ sudo systemctl restart NetworkManager

e pronto! NetworkManagerusa localhost como servidor DNS, todas as solicitações de curlou de um navegador da web são resolvidas usando-o, arquivos de hosts extras de dnsmasqsão addn-hostsrespeitados:

$ nmcli device show | grep -i dns
IP4.DNS[1]:                             127.0.0.1
IP6.DNS[1]:                             ::1

$ curl -v 1.example.com
* processing: 1.example.com
*   Trying 0.0.0.0:80...
* connect to 0.0.0.0 port 80 failed: Connection refused
*   Trying [2604:a880:400:d0::2082:1001]:80...
* Immediate connect fail for 2604:a880:400:d0::2082:1001: Network is unreachable
* Failed to connect to lobste.rs port 80 after 1 ms: Couldn't connect to server
* Closing connection