Puncte:0

Redirecționați IP-urile serverului DNS pe Unifi UDM-Pro utilizând iptables

drapel in

Folosesc un Unifi UDM Pro ca gateway pentru 2 VLAN-uri:

  • LAN principal (interfață: br0, subrețea: 192.168.1.1/24)
  • VLAN pentru dispozitive IoT (interfață: br3, subrețea: 192.168.3.1/24)

Fiecare are propriul server DNS local (Adguard Home) (192.168.1.52 și 192.168.3.52 respectiv). Pentru fiecare subrețea, vreau să împiedic clienții să ocolească serverul DNS local alocat prin DHCP. Pentru a face acest lucru, fac SSH în UDM Pro și execut aceste comenzi:


iptables -t nat -A PREROUTING -i br0 ! -s 192.168.1.52 ! -d 192.168.1.52 -p tcp --dport 53 -j DNAT --la 192.168.1.52
iptables -t nat -A PREROUTING -i br0 ! -s 192.168.1.52 ! -d 192.168.1.52 -p udp --dport 53 -j DNAT --to 192.168.1.52

iptables -t nat -A PREROUTING -i br3 ! -s 192.168.3.52 ! -d 192.168.3.52 -p tcp --dport 53 -j DNAT --la 192.168.3.52
iptables -t nat -A PREROUTING -i br3 ! -s 192.168.3.52 ! -d 192.168.3.52 -p udp --dport 53 -j DNAT --to 192.168.3.52

iptables -t nat -A POSTROUTING -p tcp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERADE

Le testez folosind două metode principale: săpa și prin dispozitive WLAN (de exemplu, iPad):

Folosind săpa metoda, testez mai întâi o interogare DNS directă și apoi una pe un server DNS Google. Rulez ambele comenzi pe gazda fizică pentru serverul meu DNS (care este membru al fiecărui VLAN prin intermediul Debian vlan pachet):

  1. dig linux.org „@192.168.3.52” -b „192.168.3.52”
  2. dig linux.org „@8.8.8.8” -b „192.168.3.52”

Prima comandă de mai sus funcționează bine. Al doilea îmi oferă o pauză. Mă aștept ca al doilea să funcționeze în continuare, cu excepția faptului că va fi trimis 192.168.3.52.

Dacă alerg la fel săpa comenzile de mai sus, dar pe LAN-ul principal, ambele funcționează bine și pot vedea ambele interogări pe serverul meu DNS local.

Nu sunt sigur de ce VLAN 3 nu funcționează în cazul redirecționării, dar LAN-ul meu principal funcționează. Poate cineva să mă ajute să înțeleg de ce nu funcționează și să-mi arate o soluție funcțională?

drapel in
Dacă executați aceste comenzi din `.52`, ar fi exclusă din redirecționare. Verificați și verificați dacă regulile sunt atinse (contoarele iptables sunt utile), apoi utilizați tcpdump pentru a vedea ce trafic merge unde, cred că este la regula MASQUERADE care ar putea să nu funcționeze sau să cauzeze probleme, dar tcpdump vă va spune dacă acesta este cazul .
drapel in
M-am gândit să rulez de la .52 să provoace probleme, dar mă așteptam ca `8.8.8.8` să-mi dea un răspuns înapoi, doar să nu redirecționeze prin serverul meu DNS local. Dar cererea expiră complet. De asemenea, FWIW, testând printr-un iPad pe acel VLAN, încă văd timpul de expirare. Nu sunt un expert la iptables, tcpdump. Puteți furniza câteva exemple de comenzi pentru a rula și unde să le rulați? Mulțumesc!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.