这是一个创建于 4168 天前的主题,其中的信息可能已经有所发展或是发生改变。
为了防止dns污染,在本机运行了一个解析dns的程序。listen 127.0.0.1:5353
想让10.0.0.0/24的用户使用。
iptables -t nat -A PREROUTING -p udp --dport 53 -s 10.0.0.0/24 -j DNAT --to-destination 127.0.0.1:5353
失败。
解决方案是listen的时候 10.0.0.1:5353或者直接0.0.0.0:5353
然后iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT --to-ports 5353
因为不想5353暴露在外,所以想按照第一种方式去执行,不知道问题出在什么地方呢?
请教了。怕没人回答,@ 几个人吧。望赐教。
@madeye @shierji @letitbesqzr @sheaven @julyclyde @ovear
想让10.0.0.0/24的用户使用。
iptables -t nat -A PREROUTING -p udp --dport 53 -s 10.0.0.0/24 -j DNAT --to-destination 127.0.0.1:5353
失败。
解决方案是listen的时候 10.0.0.1:5353或者直接0.0.0.0:5353
然后iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT --to-ports 5353
因为不想5353暴露在外,所以想按照第一种方式去执行,不知道问题出在什么地方呢?
请教了。怕没人回答,@ 几个人吧。望赐教。
@madeye @shierji @letitbesqzr @sheaven @julyclyde @ovear
 | 1 madeye 2014-05-14 14:50:47 +08:00 -A OUTPUT |
| 3 madeye 2014-05-14 15:39:56 +08:00 重新看了一下你的帖子,你是在路由器上做 NAT?那么第二个方案就是正确的,因为经过 DNAT 和 REDIRECT 后目的地址变了,但源地址依然是 10.0.0.0/24 |
 | 6 1314258 OP @madeye 如果是OUTPUT,那怎么写?试验几个规则了。没办法搞出来。 其实就是把 -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT 127.0.0.1:5353 但redirect 貌似不能--to-destination |
 | 8 bearice 2014-05-14 16:37:22 +08:00 要是想要劫持会话的话应该用TPROXY,https://www.kernel.org/doc/Documentation/networking/tproxy.txt |
 | 9 stevenfish 2014-05-14 17:24:04 +08:00 什么原因失败没说啊,收不收到udp的reply啊? |
| 10 stevenfish 2014-05-14 17:27:55 +08:00 对了,你如果listen 10.0.0.1:5353这port不是对外打开的啊,这只有你VPN连上才有吧 |
| 11 1314258 OP @bearice 应该不算是劫持吧。只是把数据重新redirect 到transparent的端口。 @stevenfish 是的,10.0.0.1就不对外了。绑定5353之前,需要拨号一次来建立10.0.0.1这个ip |
| 12 stevenfish 2014-05-14 18:36:46 +08:00 @1314258 那问题不就解决了吗 |
 | 13 shierji 2014-05-24 16:47:59 +08:00 iptables我根本就是弱的一逼啊 我现在的做法是在openwrt上跑一个DNS用tcp查询上游国外DNS监听5353。 然后被污染的域名通过dnsmasq转发给pdns |
| 14 shierji 2014-05-24 16:48:58 +08:00 刚才写的有问题。。应该是这样的: 在openwrt上跑一个pdns用tcp查询上游国外DNS然后在本机监听5353。 被污染的域名通过dnsmasq转发给pdnsd |
 | 15 julyclyde 2014-06-18 16:48:15 +08:00 PREROUTING本质上是转发处理 OUTPUT是本机的 这两种都得考虑到 |
Select Language