iptables劫持并拦截DNS查询53端口路由器防火墙DNS劫持规则命令

iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53

最近发现路由器防火墙-自定义规则里面有着两条规则，开始不知道是什么意思，网上一查才发现，用着两条规则就可以实现劫持53端口的目的。

旁路由的OPENWRT 防火墙-自定义规则里自带有这两条规则，我已经添加并使用了iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE这条规则。

iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

DNS强制重定向（其实就是DNS劫持）。加了这条之后，所有客户端自己设置的DNS就没用了，只要是53端口的，就必须走路由器上的DNS。

如果装adguardhome等DNS过滤广告还得必须注释掉这条。

重定向（劫持）所有53端口的 udp请求包，到路由器网关的53端口

如果局域网内有自建的DNS可以使用下面命令把客户端DNS请求劫持过去

192.168.1.10为局域网自建DNS地址

iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT --to 192.168.1.10

本站附件分享，如果附件失效，可以去找找看

诚通网盘附件、百度网盘附件