Jepp. men det er som sagt implementasjonen som er problemet. DNS rebind protection som sådan er fornuftig nok. Det betyr at du forhindrer en DNS-server på WAN-siden fra å peke til en IP-adresse på LAN-siden.

Problemet med dnsmasq er at den ikke bruker informasjon fra routing-tabellen til å fortelle om en adresse "hører til" på LAN- eller WAN-siden. I stedet antar den dumt at RFC1918-adresser er på LAN-siden og alt annet er på WAN-siden. Det er åpenbart at dette feiler litt for ofte til å g mening som default-setting. For det første er det slett ikke uvanlig at ISPer bruker RFC1918-adresser til tjenester. I mobilverdene er dette veldig vanlig. Se f.eks. mms-proxy.telenor.no. Så dnsmasq brekker ofte ting. Men enda verre er det kanskje at det gir en falsk følelse av beskyttelse hvis du bruker andre adresser på LAN-siden. Det var muligens ikke så vanslig før IPv6, men med IPv6 er det jo etter hvert normalen for mange sluttbrukere uten så inngående kjennskap til konsekvensene. Da mener jeg dnsmasq gjør dem en bjørnetjeneste ved å late som om den implementerer rebind protection