这是一个创建于 3639 天前的主题,其中的信息可能已经有所发展或是发生改变。
为了防止dns污染,在本机运行了一个解析dns的程序。listen 127.0.0.1:5353
想让10.0.0.0/24的用户使用。
iptables -t nat -A PREROUTING -p udp --dport 53 -s 10.0.0.0/24 -j DNAT --to-destination 127.0.0.1:5353
失败。
解决方案是listen的时候 10.0.0.1:5353或者直接0.0.0.0:5353
然后iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT --to-ports 5353
因为不想5353暴露在外,所以想按照第一种方式去执行,不知道问题出在什么地方呢?
请教了。怕没人回答,@ 几个人吧。望赐教。
@madeye @shierji @letitbesqzr @sheaven @julyclyde @ovear
想让10.0.0.0/24的用户使用。
iptables -t nat -A PREROUTING -p udp --dport 53 -s 10.0.0.0/24 -j DNAT --to-destination 127.0.0.1:5353
失败。
解决方案是listen的时候 10.0.0.1:5353或者直接0.0.0.0:5353
然后iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT --to-ports 5353
因为不想5353暴露在外,所以想按照第一种方式去执行,不知道问题出在什么地方呢?
请教了。怕没人回答,@ 几个人吧。望赐教。
@madeye @shierji @letitbesqzr @sheaven @julyclyde @ovear
 |
1
madeye 2014-05-14 14:50:47 +08:00
-A OUTPUT
|
|
3
madeye 2014-05-14 15:39:56 +08:00
重新看了一下你的帖子,你是在路由器上做 NAT?那么第二个方案就是正确的,因为经过 DNAT 和 REDIRECT 后目的地址变了,但源地址依然是 10.0.0.0/24
|
 |
6
1314258 OP @madeye 如果是OUTPUT,那怎么写?试验几个规则了。没办法搞出来。
其实就是把 -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT 127.0.0.1:5353 但redirect 貌似不能--to-destination |
 |
8
bearice 2014-05-14 16:37:22 +08:00
要是想要劫持会话的话应该用TPROXY,https://www.kernel.org/doc/Documentation/networking/tproxy.txt
|
 |
9
stevenfish 2014-05-14 17:24:04 +08:00
什么原因失败没说啊,收不收到udp的reply啊?
|
|
10
stevenfish 2014-05-14 17:27:55 +08:00
对了,你如果listen 10.0.0.1:5353这port不是对外打开的啊,这只有你VPN连上才有吧
|
|
11
1314258 OP @bearice 应该不算是劫持吧。只是把数据重新redirect 到transparent的端口。
@stevenfish 是的,10.0.0.1就不对外了。绑定5353之前,需要拨号一次来建立10.0.0.1这个ip |
|
12
stevenfish 2014-05-14 18:36:46 +08:00
@1314258 那问题不就解决了吗
|
 |
13
shierji 2014-05-24 16:47:59 +08:00
iptables我根本就是弱的一逼啊
我现在的做法是在openwrt上跑一个DNS用tcp查询上游国外DNS监听5353。 然后被污染的域名通过dnsmasq转发给pdns |
|
14
shierji 2014-05-24 16:48:58 +08:00
刚才写的有问题。。应该是这样的:
在openwrt上跑一个pdns用tcp查询上游国外DNS然后在本机监听5353。 被污染的域名通过dnsmasq转发给pdnsd |
 |
15
julyclyde 2014-06-18 16:48:15 +08:00
PREROUTING本质上是转发处理
OUTPUT是本机的 这两种都得考虑到 |
Select Language