gateway iptables dns redirect

Ho un problema con il reindirizzamento delle richieste dns del pc a un server DNS dns. Voglio bloccare l'accesso ad altri servizi dns tranne i miei. Ho trovato diversi methods per farlo, nessuno lavora qui. Quindi devo fare qualcosa di sbagliato.

Molte persone suggeriscono di utilizzare questo:

iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 192.168.2.70:53 

Ma nella mia configuration questo blocca l'accesso al DNS. Inoltre non riesco a trovare il motivo per cui questo dovrebbe funzionare in primo luogo. Poiché la prerouting è per gli utenti esterni che desiderano l'accesso a un diritto di servizio interno?

Ho anche provato a specificare l'interface interna lan -i eth1, ma questo non funziona solo perché i server interni sono anche sulla stessa interface. Che farebbe un giro? I server inviano pacchetti per la port 53 e il gateway lo invia allo stesso server.

Poi vorrei anche SOLO permettere ai server dns sulla mia networking interna di contattare altri server DNS esterni. Piace:

 iptables -A OUTPUT -p udp -s 192.168.2.70 -d 208.67.222.222 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.2.70 -d 208.67.222.220 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -s 192.168.2.72 -d 208.67.222.222 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.2.72 -d 208.67.222.220 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 

Ma indovino che la tabella OUTPUT non sia corretta. Dal momento che da quello che ho imparato, INPUT e OUTPUT sono solo per il router locale linux no?

Informazione:

 Internal dns servers: 192.168.2.70 and 192.168.2.72 External dns server: 208.67.222.220 and 208.67.222.222 LAN interface: ETH1 WAN interface: ETH0 

La mia configuration del firewall corrente senza prerouting & forward rules tranne uno per mostrare come è configurato.

  #!/bin/sh -e ifconfig eth1 192.168.2.1/24 echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Flush table's iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -t nat -F #toestaan SSH verkeer iptables -t nat -A PREROUTING -p tcp --dport 22 -i eth0 -j DNAT --to 192.168.2.1 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #Drop traffic and accept iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT #verkeer naar buiten toe laten en nat aanzetten iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP #toestaan verkeer loopback iptables -A INPUT -i lo -j ACCEPT #toestaan lokaal netwerk iptables -A INPUT -i eth1 -j ACCEPT #accepteren established traffic iptables -A INPUT -i eth0 --match state --state RELATED,ESTABLISHED -j ACCEPT #droppen ICMP boodschappen iptables -A INPUT -p icmp -i eth0 -m limit --limit 10/minute -j ACCEPT iptables -A INPUT -p icmp -i eth0 -j REJECT #RDP forward voor windows servers iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.2.73 iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT 

  • Redirect subdomain al sottodominio Apache2
  • DNS reindirizzamento - niente di simile, o c'è?
  • Utilizza proxy inversa nginx per il reindirizzamento
  • Perché il mio htaccess redirect non funziona?
  • Reindirizzamento cartella sul server di dominio Win Server 2008
  • Failover / ridondante SSH
  • Come impostare la password AD scaduta / da modificare con PowerShell
  • Gestione di documenti e siti trasferiti in Sharepoint
  • 2 Solutions collect form web for “gateway iptables dns redirect”

    È necessario mettere queste regole nella catena FORWARD:

     iptables -A FORWARD -p udp -s 192.168.2.70 -d 208.67.222.222 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.2.70 -d 208.67.222.220 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p udp -s 192.168.2.72 -d 208.67.222.222 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.2.72 -d 208.67.222.220 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 

    Dare agli utenti gli indirizzi dei server DNS locali tramite DHCP e non preoccupatevi di redirect il loro traffico DNS ai server locali – se manipolano con la loro configuration di networking (configuration dei server DNS), solo falliranno.

    Ho usato queste regole per forzare tutte le ricerche DNS da eseguire da dnsmasq sul mio router DD-WRT:

     iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT 

    Questi possono essere memorizzati in DD-WRT andando su Amministrazione – Comandi e inserendoli nella casella e premendo "Salva Firewall".

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.