Блок трафик DNS за исключением 1 устройства
Добрый вечер все. Я хочу заблокировать исходящий трафик DNS от всех моих устройств кроме pihole (192.168.2.196).
Я думаю, что следующие правила iptables должны работать, но я неопытен с iptables, таким образом, я надеюсь, что кто-то может помочь мне, прежде чем я попробую его и сделаю мою жену безумной, потому что Интернет больше не работает.
iptables -A OUTBOUND -p UDP -s 192.168.2.196 --dport 53 -j ACCEPT
iptables -A OUTBOUND -p TCP -s 192.168.2.196 --dport 53 -j ACCEPT
iptables -A OUTBOUND -s 192.168.2.1/24 --dport 53 -j DROP
Дополнительно некоторые устройства как Google домой трудно кодируются для использования 8.8.8.8 в качестве их DNS, таким образом, я думал, что что-то вроде этого перенаправило их к pihole?
iptables -A OUTBOUND -d 8.8.8.8/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.2.196
iptables -A OUTBOUND -d 8.8.8.8/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.2.196
iptables -A OUTBOUND -d 8.8.4.4/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.2.196
iptables -A OUTBOUND -d 8.8.4.4/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.2.196
Кто-либо видит какую-либо из этих проблем с ними?
1 ответ
Итак, я использовал следующие два ввода iptables для перенаправления всего трафика DNS на мой DNS-сервер вместо прямо, блокируя это. Это позволяет устройствам с жестко закодированными адресами DNS по-прежнему функционировать (хотя и немного медленнее)
iptables -t nat -A PREROUTING -i br0 -p udp ! --source 192.168.2.196 ! --destination 192.168.2.196 --dport 53 -j DNAT --to 192.168.2.196
iptables -t nat -A PREROUTING -i br0 -p tcp ! --source 192.168.2.196 ! --destination 192.168.2.196 --dport 53 -j DNAT --to 192.168.2.196
Где 192.168.2.196 - это IP-адрес моего DNS-сервера.