DNS लुकअप IP और पोर्ट को पुनर्निर्देशित करने के लिए Iptables

मुझे पता चला है कि मेरा ISP (verizon) पोर्ट 53 पर सभी DNS ट्रैफ़िक को रोक रहा है।

Iptables का उपयोग करके, मैं सभी DNS लुकअप ट्रैफ़िक को एक विशिष्ट IP और पोर्ट (5353) पर पुनर्निर्देशित करना चाहता हूं। मेरे कंप्यूटर को पोर्ट 53 पर किसी अन्य कंप्यूटर से कनेक्ट करने का कोई भी प्रयास 23.226.230.72 लगभग 353 पर पुनर्निर्देशित किया जाना चाहिए।

DNS सर्वर और पोर्ट को सत्यापित करने के लिए मैं उपयोग करने की कोशिश कर रहा हूं, मैंने इस कमांड को चलाया है।

~$ dig +short serverfault.com @23.226.230.72 -p5353
198.252.206.16

यह iptables नियम है जिसका मैं उपयोग करने की कोशिश कर रहा हूं।

iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j DNAT --to-destination 23.226.230.72:5353

उस नियम को जोड़ने के बाद, सभी DNS लुकअप नहीं मिले। वेबसाइट पिंग्स वापस unknown host। वेबपेजों का कहना है कि 'सर्वर नॉट फाउंड'।

~$ mtr serverfault.com
Failed to resolve host: Name or service not known

मैं चाहता हूं कि मेरा DNS 23.226.230.72 to353 से खींचा जाए। मैं iptables नियम कैसे बना सकता हूं?

संपादित करें

मेरे ISP द्वारा DNS (पोर्ट 53) अवरोधन का प्रदर्शन। पोर्ट 5353 के माध्यम से खुदाई से 23.226.230.72 तक ट्रेस आउटपुट, और फिर पोर्ट 53।

~$ dig +trace stackexchange.com @23.226.230.72 -p5353

; <<>> DiG 9.9.5-3-Ubuntu <<>> +trace stackexchange.com @23.226.230.72 -p5353
;; global options: +cmd
.           86395   IN  NS  ns7.opennic.glue.
.           86395   IN  NS  ns4.opennic.glue.
.           86395   IN  NS  ns3.opennic.glue.
.           86395   IN  NS  ns5.opennic.glue.
.           86395   IN  NS  ns2.opennic.glue.
.           86395   IN  NS  ns10.opennic.glue.
.           86395   IN  NS  ns1.opennic.glue.
.           86395   IN  NS  ns6.opennic.glue.
.           86395   IN  NS  ns8.opennic.glue.
dig: couldn't get address for 'ns8.opennic.glue': no more


~$ dig +trace stackexchange.com @23.226.230.72 -p53

; <<>> DiG 9.9.5-3-Ubuntu <<>> +trace stackexchange.com @23.226.230.72 -p53
;; global options: +cmd
.           7440    IN  NS  f.root-servers.net.
.           7440    IN  NS  d.root-servers.net.
.           7440    IN  NS  j.root-servers.net.
.           7440    IN  NS  i.root-servers.net.
.           7440    IN  NS  g.root-servers.net.
.           7440    IN  NS  k.root-servers.net.
.           7440    IN  NS  a.root-servers.net.
.           7440    IN  NS  h.root-servers.net.
.           7440    IN  NS  e.root-servers.net.
.           7440    IN  NS  m.root-servers.net.
.           7440    IN  NS  c.root-servers.net.
.           7440    IN  NS  b.root-servers.net.
.           7440    IN  NS  l.root-servers.net.
;; Received 239 bytes from 23.226.230.72#53(23.226.230.72) in 2948 ms

stackexchange.com.  215 IN  A   198.252.206.16
;; Received 62 bytes from 192.228.79.201#53(b.root-servers.net) in 116 ms

मेरे वर्तमान iptables। iptables-save

~# iptables-save
# Generated by iptables-save v1.4.21 on Tue Jul 15 23:06:52 2014
*mangle
:PREROUTING ACCEPT [79950528:41742899703]
:INPUT ACCEPT [78748282:41360159554]
:FORWARD ACCEPT [13:5427]
:OUTPUT ACCEPT [85455483:57472640071]
:POSTROUTING ACCEPT [85480442:57475512901]
-A POSTROUTING -o lxcbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Tue Jul 15 23:06:52 2014
# Generated by iptables-save v1.4.21 on Tue Jul 15 23:06:52 2014
*nat
:PREROUTING ACCEPT [71:18713]
:INPUT ACCEPT [7:474]
:OUTPUT ACCEPT [109:7855]
:POSTROUTING ACCEPT [109:7855]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -d 172.17.0.0/16 -j MASQUERADE
-A POSTROUTING -s 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
COMMIT
# Completed on Tue Jul 15 23:06:52 2014
# Generated by iptables-save v1.4.21 on Tue Jul 15 23:06:52 2014
*filter
:INPUT ACCEPT [78748139:41360144354]
:FORWARD ACCEPT [13:5427]
:OUTPUT ACCEPT [85454926:57472600172]
:fail2ban-ssh - [0:0]
:fail2ban-vsftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j fail2ban-vsftpd
-A INPUT -p tcp -m multiport --dports 22,6622 -j fail2ban-ssh
-A INPUT -i lxcbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i lxcbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lxcbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i lxcbr0 -p udp -m udp --dport 67 -j ACCEPT
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o lxcbr0 -j ACCEPT
-A FORWARD -i lxcbr0 -j ACCEPT
-A fail2ban-ssh -j RETURN
-A fail2ban-vsftpd -j RETURN
COMMIT

इन सभी निर्देशों को रूट (sudo) के रूप में निष्पादित करें।

इस फ़ाइल को संपादित करें।

/etc/NetworkManager/NetworkManager.conf

DnsMasq को लाइन में टिप्पणी करके अक्षम करें dns=dnsmasq। #लाइन के सामने रख दिया

#dns=dnsmasq

अपनी नेटवर्किंग को पुनरारंभ करें।

service network-manager restart

इन iptable नियम जोड़ें।

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to 23.226.230.72:5353
iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to 23.226.230.72:5353

ऐसा लगता है कि आपके DNS प्रश्नों के साथ क्या होता है, इसके नियंत्रण में होना क्या है।

मुझे यकीन नहीं है कि iptables का उपयोग करना मेरा पसंदीदा समाधान होगा।

क्या आपने एक स्थानीय डीएनएस सर्वर स्थापित करने के बारे में सोचा है जो केवल मेजबान और आपके इच्छित पोर्ट के लिए आपके अनुरोधों को आगे बढ़ाता है? एक उदाहरण: bind9 फारवर्डर विकल्प का उपयोग करके आप एक फारवर्डर में एक पोर्ट जोड़ सकते हैं।

इस तरह के एक सेट-अप को बनाए रखना और समस्या निवारण करना बहुत आसान है, और अधिक लचीला हो सकता है। कैशिंग के लाभ पर विचार करें, या केवल उस मामले पर विचार करें जिसमें आपका बाहरी DNS सर्वर डाउन है। आपके DNS कॉन्फ़िगरेशन में कई फ़ॉरवर्डर्स हो सकते हैं, लेकिन iptables नियमों में केवल एक IP ...।

डिजिटल महासागर में एक ट्यूटोरियल में बाइंड 9 की स्थापना का एक अच्छा अवलोकन है । बस पोर्ट को फ़ॉरवर्डर्स में जोड़ें और आपको सभी सेट होना चाहिए।

Bind9 बहुत सारे संसाधनों का उपभोग नहीं करता है और आसानी से कॉन्फ़िगर किया जाता है (या कम से कम: iptables से आसान है :-))

इसे इस्तेमाल करे:

सबसे पहले आपको अग्रेषण विकल्प को सक्षम करना होगा

/etc/sysctl.conf

के मान पर सेट करें

net.ipv4.ip_forward = 1

परिवर्तनों को सक्षम करें

sysctl -p 

निम्न को सहेजें और चलाएं:

iptables -t nat -A PREROUTING -p tcp --sport 53 -j DNAT --to-destination 23.226.230.72:5353
iptables -t nat -A POSTROUTING -j MASQUERADE

यदि आप PREROUTING के बारे में इन-इंटरफेस (-i eth1) निर्दिष्ट कर सकते हैं या / और आउट-इंटरफेक्ट (-o eth0) में पोस्टिंग उपयोगी हो सकता है।

ध्यान दें: MASQUARADE लाइन आवश्यक है जबकि यह मुख्य IP के साथ गंतव्य IP को मास्क करता है।

इसे इस्तेमाल करे:

iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to 23.226.230.72:5353;

iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to 23.226.230.72:5353;

iptables -t nat -A POSTROUTING -j MASQUERADE

इसका अर्थ है:
1) पोर्ट टीसी
3 पर 23.226.230.72 पर पोर्ट करने के लिए दुनिया से संपर्क करने वाला कोई भी स्थानीय उपयोगकर्ता 5353. 2) 2) 1 के रूप में एक ही है, लेकिन यूडीपी
3 के लिए) आउटगोइंग पैकेट पर स्रोत जानकारी सेट करें।

iptables -t nat -A PREROUTING -p tcp --dport 53 -j DNAT --to XX.XX.XX.XX:5353
iptables -t nat -A PREROUTING -p udp  --dport 53 -j DNAT --to XX.XX.XX.XX:5353
iptables -t nat -A POSTROUTING -j MASQUERADE