1
madeye 2014-05-14 14:50:47 +08:00
-A OUTPUT
|
3
madeye 2014-05-14 15:39:56 +08:00
重新看了一下你的帖子,你是在路由器上做 NAT?那么第二个方案就是正确的,因为经过 DNAT 和 REDIRECT 后目的地址变了,但源地址依然是 10.0.0.0/24
|
6
1314258 OP @madeye 如果是OUTPUT,那怎么写?试验几个规则了。没办法搞出来。
其实就是把 -s 10.0.0.0/24 -p udp --dport 53 -j REDIRECT 127.0.0.1:5353 但redirect 貌似不能--to-destination |
8
bearice 2014-05-14 16:37:22 +08:00
要是想要劫持会话的话应该用TPROXY,https://www.kernel.org/doc/Documentation/networking/tproxy.txt
|
9
stevenfish 2014-05-14 17:24:04 +08:00
什么原因失败没说啊,收不收到udp的reply啊?
|
10
stevenfish 2014-05-14 17:27:55 +08:00
对了,你如果listen 10.0.0.1:5353这port不是对外打开的啊,这只有你VPN连上才有吧
|
11
1314258 OP @bearice 应该不算是劫持吧。只是把数据重新redirect 到transparent的端口。
@stevenfish 是的,10.0.0.1就不对外了。绑定5353之前,需要拨号一次来建立10.0.0.1这个ip |
12
stevenfish 2014-05-14 18:36:46 +08:00
@1314258 那问题不就解决了吗
|
13
shierji 2014-05-24 16:47:59 +08:00
iptables我根本就是弱的一逼啊
我现在的做法是在openwrt上跑一个DNS用tcp查询上游国外DNS监听5353。 然后被污染的域名通过dnsmasq转发给pdns |
14
shierji 2014-05-24 16:48:58 +08:00
刚才写的有问题。。应该是这样的:
在openwrt上跑一个pdns用tcp查询上游国外DNS然后在本机监听5353。 被污染的域名通过dnsmasq转发给pdnsd |
15
julyclyde 2014-06-18 16:48:15 +08:00
PREROUTING本质上是转发处理
OUTPUT是本机的 这两种都得考虑到 |