dnscrypt-proxy с iptables не перехватывает IPv6 DNS запросы в роутере

Templainer	# 3 года, 11 месяцев назад
Темы: 36 Сообщения: 127 Участник с: 25 апреля 2014	Всем привет. Есть такой скрипт с правилами iptables, работающий в Entware (аналог OpenWRT, управляется по SSH) Zyxel Keenetic `#!/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 [ -z "$(iptables-save \| grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \ iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 exit 0` перехватывает/приземляет DNS запросы к IPv4 серверам, но это не работает для IPv6 DNS. Помогите пожалуйста. настройки сетей явно не мое, а тут так вообще iptables.. темный лес ( Не знаю, нужно ли это (выхлоп с роутера): netstat -an \| grep :53 tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN tcp 0 0 ::1:53 :::* LISTEN udp 0 0 192.168.1.1:53 0.0.0.0:* udp 0 0 58.10.58.150:50517 58.10.58.1:5351 ESTABLISHED udp 0 0 192.168.1.1:5351 0.0.0.0:* udp 0 0 0.0.0.0:5355 0.0.0.0:* udp 0 0 ::1:53 :::* В конфиге самого dnscrypt: … listen_addresses = ['192.168.1.1:53', '[::1]:53'] … dnscrypt-proxy2 имеет поддержку черного списка. Если заблокированный домен доступен по IPv4 и 6 адресам, то при использовании IPv6 DNS у клиентов - запросы успешно проходят. Если информации недостаточно - извиняюсь, дополню. Дуб дубом в этом (

# 3 года, 11 месяцев назад

Сообщения: 127

Участник с: 25 апреля 2014

Всем привет.

Есть такой скрипт с правилами iptables, работающий в Entware (аналог OpenWRT, управляется по SSH) Zyxel Keenetic


#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "nat" ] && exit 0
[ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \
    iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53
exit 0

перехватывает/приземляет DNS запросы к IPv4 серверам, но это не работает для IPv6 DNS.
Помогите пожалуйста. настройки сетей явно не мое, а тут так вообще iptables.. темный лес (
Не знаю, нужно ли это (выхлоп с роутера):
netstat -an | grep :53

tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 ::1:53 :::* LISTEN
udp 0 0 192.168.1.1:53 0.0.0.0:*
udp 0 0 58.10.58.150:50517 58.10.58.1:5351 ESTABLISHED
udp 0 0 192.168.1.1:5351 0.0.0.0:*
udp 0 0 0.0.0.0:5355 0.0.0.0:*
udp 0 0 ::1:53 :::*

В конфиге самого dnscrypt:

…
listen_addresses = ['192.168.1.1:53', '[::1]:53']
…

dnscrypt-proxy2 имеет поддержку черного списка. Если заблокированный домен доступен по IPv4 и 6 адресам, то при использовании IPv6 DNS у клиентов - запросы успешно проходят.
Если информации недостаточно - извиняюсь, дополню. Дуб дубом в этом (

52th	# 3 года, 11 месяцев назад
Темы: 11 Сообщения: 462 Участник с: 01 октября 2012	насколько я понимаю, дело в этой сточке: `[ "$type" == "ip6tables" ] && exit 0` по смыслу он отбрасывает все запросы ipv6 можно попробовать переписать этот скрипт: `#!/bin/sh [ "$table" != "nat" ] && exit 0 [ -z "$(iptables-save \| grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \ iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 && \ ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination <ipv6_adress_proxy>:53 exit 0`

52th

# 3 года, 11 месяцев назад

Темы: 11

Сообщения: 462

Участник с: 01 октября 2012

насколько я понимаю, дело в этой сточке:

[ "$type" == "ip6tables" ] && exit 0

по смыслу он отбрасывает все запросы ipv6
можно попробовать переписать этот скрипт:

#!/bin/sh
[ "$table" != "nat" ] && exit 0
[ -z "$(iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1")" ] && \
    iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53 && \
    ip6tables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination <ipv6_adress_proxy>:53
exit 0

Templainer	# 3 года, 11 месяцев назад
Темы: 36 Сообщения: 127 Участник с: 25 апреля 2014	52th, Большое спасибо. ip6tables выдает ошибку отсутствия таблицы nat. Ядро 3.4.113. Как подсказали на форуме пользователей Zyxel, для исправления нужно более свежее ядро.. Проблема выходит за рамки данного топика. Хотя и так не касается нашего любимого дистрибутива. Просто там никого соображающего в bash/iptables не появилось в нужном топике. А тут люди добрые, не прогонят. Собственно, вопрос по теме считаю решенным. Оставшиеся вопросы будут адресованы пользователям и разработчикам Entware.

Templainer

# 3 года, 11 месяцев назад

Темы: 36

Сообщения: 127

Участник с: 25 апреля 2014

52th,
Большое спасибо.

ip6tables выдает ошибку отсутствия таблицы nat.
Ядро 3.4.113. Как подсказали на форуме пользователей Zyxel, для исправления нужно более свежее ядро..
Проблема выходит за рамки данного топика. Хотя и так не касается нашего любимого дистрибутива. Просто там никого соображающего в bash/iptables не появилось в нужном топике. А тут люди добрые, не прогонят.

Собственно, вопрос по теме считаю решенным. Оставшиеся вопросы будут адресованы пользователям и разработчикам Entware.