V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  acess  ›  全部回复第 65 页 / 共 113 页
回复总数  2242
1 ... 61  62  63  64  65  66  67  68  69  70 ... 113  
2018-03-12 21:34:03 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@parametrix #13
MASQUERADE 是 zone_wan_postrouting 里的,一个数据包需要走这个路径才能被 MASQUERADE:
POSTROUTING->delegate_postrouting->zone_wan_postrouting
但是,在 delegate_postrouting 那里有约束条件-o [WAN 口 iface] -j zone_wan_postrouting。
因为 DNS 响应包是从 lo 发出的,所以压根就不会走到 zone_wan_postrouting 和后面的 MASQUERADE 吧。
2018-03-10 13:02:08 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@BOYPT 又打错…… REROUTING=>PREROUTING
2018-03-10 13:01:17 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@BOYPT 我其实没看懂你前一个回复的意思……不是本机发出的包走 OUTPUT、转发的包走 REROUTING,“井水不犯河水”么?
2018-03-10 12:57:27 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@azh7138m 打错……退而求其次,REDIRECT+ss-tunnel
2018-03-10 12:55:55 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@mt7620
其实也不能说路由器上的这个 TPROXY 是废的,因为其他 UDP 包(比如内网机器执行 nslookup qq.com 114.114.114.114 这种)还是会走这个 TPROXY 的。
但是,路由器上跑的软件自己发出的 UDP 包就不会走这个 TPROXY 了(压根不会过 mangle PREROUTING 链),尤其是路由器上的那个 dnsmasq。

@azh7138m 这是让 dnsmasq 直接把 ss-tunnel 当上级服务器么?这样也许可以绕过问题,不过我还是好奇为什么会出现这种怪状……
换句话说,是我一个人碰到这个问题,还是很多人都能重复出来这个问题?
从另一个方面说,万一我有个需求是让路由器上其他软件发的 UDP 包也走代理呢? TPROXY+ss-redir 看样子是解决不了这个问题了(因为本机发出的包没经过 mangle PREROUTING 链),退而求其次,REDIRECT+ss-local 居然也不行,这就蛋疼了……
2018-03-09 16:37:42 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@BOYPT 我 tcpdump -i lo 抓包了,OpenWRT 症状如上述,另一台 Debian VPS 则没有问题。
2018-03-09 16:35:38 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@mt7620
我知道 openwrt 用了 dnsmasq,然后内网机器从 DHCP 获取的 DNS 服务器就是它。然后,内网机器的 DNS 请求被这个 dnsmasq 接受、转发,不就是相当于路由器本机上跑的软件发了 DNS 请求了么?
接下来不就是我碰到的问题了?
我也装了编译好的 ipk 包(ss-libev 和 luci 插件两个包),然后,好像是通过 ss-rule 生成规则,但对 UDP 来说,ss-rule 只是加了一个 PREROUTING 的 TPROXY,然而内网的机器 DNS 服务器都是路由器上的这个 dnsmasq 啊,所以这个 TPROXY 基本上是废的。
(ss-rule 还在 nat 表的 OUTPUT 链加了 REDIRECT,不过只对 tcp 生效)
没记错的话,为了绕过这个问题,我一般是手动在 nat 表的 PREROUTING 链再加一条 REDIRECT 或 DNAT,把内网(不是本机)的 DNS 请求转到 ss-tunnel 上(然后实际上是绕过了这个 dnsmasq)。
2018-03-09 12:07:08 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@parametrix
Debian VPS 上用这个 REDIRECT 是没问题的,抓包也能看到来回数据包都被正确修改了。但是这台 OpenWRT 路由器就不正常,抓包可以看到只有请求包被修改了,响应包没有被修改,然后就被 ICMP port unreachable 拒绝。
2018-03-09 12:04:31 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@ThirdFlame LAN 口 IP 也是一样的,不行……
2018-03-09 11:56:34 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@parametrix
在 OUTPUT 里加入 REDIRECT 规则后,本机 DNS 请求包的目的 IP:端口被修改,变成 127.0.0.1:[REDIRECT 的目标端口];监听那个端口的是 dnsmasq,它发出的 DNS 响应包的源 IP:端口也被修改,变成[软件请求的 DNS 服务器]:53。
2018-03-09 11:52:46 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@parametrix
我在 Debian VPS 上抓包看了,确实是这样。
@ThirdFlame
试一下倒是可以,不过这很奇怪啊,难道是我这路由器里有别的什么奇怪的规则在捣鬼?我不信我还能碰到 bug。
2018-03-09 02:36:12 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@parametrix 其实路由下的机器都已经能走 ss 了,就是路由器自己不能走 ss,很奇怪。
2018-03-09 02:30:11 +08:00
回复了 acess 创建的主题 Linux iptables 不能重定向本机 DNS 请求到指定端口?
@parametrix
TPROXY 只能在 mangle 表的 PREROUTING 链上使用(其实这台路由也已经用上了),不能对本机生效吧。
2018-03-07 03:57:59 +08:00
回复了 a55455 创建的主题 问与答 msdn 我告诉你 win7 旗舰版 64 位 占用 40G 硬盘
空间够用的话,最好别乱删。
2018-03-07 03:56:19 +08:00
回复了 a55455 创建的主题 问与答 msdn 我告诉你 win7 旗舰版 64 位 占用 40G 硬盘
补丁安装后会留一个备份,这个非常占空间,包括 winsxs、installercache 之类,用 spacesniffer 可以扫出来(不过注意 spacesniffer 不考虑硬链接)。
dism++慎用,没记错的话,微软在 win8 才开始在 dism 里提供组件清理功能(清理掉老版本备份来省空间,不过用 /resetbase 清理完就不能卸载补丁),dism++这个第三方软件“强行”给 win7 实现这个功能,似乎出过很严重的问题(不止补丁不能卸载)。
2018-03-01 12:25:09 +08:00
回复了 yazoox 创建的主题 Windows 请问一下,现在比较稳定又好用的 win10 是哪个版本的?
1709 ?那右键点那 svchost.exe ,转到服务,看看是哪个服务。
1703 以前的版本上一个 svchost 还跑着 N 个服务呢,出了问题都不太好区分。
2018-02-22 20:03:32 +08:00
回复了 f2f2f 创建的主题 随想 开工第一天 Win10 挂了……挂的很彻底
@f2f2f 我擦,那我还真得小心了,我一般都是大版本更新的时候才清理。
2018-02-22 19:23:14 +08:00
回复了 f2f2f 创建的主题 随想 开工第一天 Win10 挂了……挂的很彻底
@f2f2f
内置的磁盘清理? cleanmgr 么?
我也用过啊,也是勾选清理老系统文件……不过我的系统没被搞死,哈哈。
还有,如果是我,可能会尝试用 WinRE 里的命令提示符手动 dism /apply-image 来重装,这样就不用格 C 盘了(不过需要有 wim 镜像)
2018-02-20 22:39:57 +08:00
回复了 Danswerme 创建的主题 分享发现 Win10 2016 LSTB 的一个小“BUG”
@jedihy
即使不能绕,或者说你用的本来就是非管理员账号,UAC 也只是护着系统本身而已。软件想作恶其实还是可以作恶(比如截屏 /记录键盘 /上传文件等等),毕竟没有沙盒隔离……
1 ... 61  62  63  64  65  66  67  68  69  70 ... 113  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6081 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 06:20 · PVG 14:20 · LAX 22:20 · JFK 01:20
Developed with CodeLauncher
♥ Do have faith in what you're doing.