Come bloccare i pacchetti in uscita verso i server DNS di Google sul router dlink?

2

Ho un dlink DIR 600L e ora voglio configurare il firewall del mio router per bloccare i pacchetti in uscita verso i server DNS di Google (8.8.8.8 e 8.8.4.4) per TCP / UDP e la porta 53 (DNS), questo è così che posso usa Chromecast per guardare Netflix al di fuori degli Stati Uniti .

Per bloccare i pacchetti in uscita sui server DNS di Google (8.8.8.8 e 8.8.4.4) per TCP / UDP e la porta 53 (DNS), devi solo inserire due regole nel firewall del router. In questo modo, Chromecast avrà un timeout nel tentativo di raggiungere i server DNS di Google e tornerà ai server DNS definiti dal router e Netflix o Hulu funzioneranno di nuovo!

In altre parole, questo è ciò che intendo fare:

Ciò di cui ho bisogno è un router in grado di filtrare le connessioni in uscita e ogni router che ho visto può farlo come parte del firewall integrato senza la necessità di eseguire il flashing di un firmware alternativo che supporti iptables (come openwrt).

Si noti che non sto cercando una soluzione come l'instradamento della richiesta DNS a un gateway fasullo , tale soluzione richiede la conoscenza dell'indirizzo IP ( 192.168.x.x), che per il bene di questa domanda, è inconoscibile.

Qualche idea su come posso farlo? Se il router dlink non è in grado di gestirlo, ti preghiamo di suggerire un router di livello consumer (come link tp, ASUS, Netgear ecc., Ma nessun router firmware dd-wrt o Tomato) che possa farlo. Si noti che non sto esaminando la soluzione iptables.

risorse:

  1. Puoi trovare un emulatore dlink qui . Nome utente: amministratore, password: vuota
router  dns  firewall 
Graviton
fonte
Il routing della richiesta DNS a un gateway fasullo non richiede la conoscenza dell'indirizzo IP. Basta instradarlo verso 127.0.0.1, che è sempre un gateway fasullo.
David Schwartz,

Risposte:

1

Non sono sicuro se troverai una soluzione per farlo sul tuo router di livello consumer. Fondamentalmente è necessario un server per sedersi nel mezzo della connessione o un proxy per sedersi nel mezzo e intercettare tutto il traffico diretto ai server DNS di Google e ricostruire i pacchetti per reindirizzare a una destinazione alternativa.

Sono sicuro che hai guardato nel file HOSTS di Windows e ti sei reso conto che sostituirà solo le richieste DNS, il che non ti aiuterà qui.

Sembra che dovrai posizionare una macchina Linux o Server 2003+ tra il tuo server e il router. Dai un'occhiata al PortProxying dell'interfaccia da IPv4 a IPv4.

http://technet.microsoft.com/en-us/library/cc731068%28v=ws.10%29.aspx

Beeks
fonte
Il router non è in grado di gestire questa funzione? Cordiali saluti, mi piace farlo su un router, non su un'altra macchina
Graviton,
@Graviton teoricamente sì. ma come menzionato in questa risposta, la possibilità di farlo probabilmente non è implementata in un router consumer. avresti bisogno di OpenWRT o qualcosa del genere.
strugee,
Ecco perché ha detto di livello consumer. Questo è facilmente realizzabile usando OpenWrt (o simile) purché si abbia accesso diretto a iptables.
Daniel B,
1

Il Manuale utente D-Link DIR-600 a cui si è collegati, descrive il firewall del router a pagina 39.

La pagina del manuale è troppo breve per essere sicuri, ma dovresti essere in grado di impostare una regola firewall che bloccherà questi indirizzi IP.

harrymc
fonte
Ti piacerebbe approfondire di più? C'è un emulatore del router dlink qui , potresti provare ancora. Nome utente: admin, nessuna password
Graviton
Il tuo emulatore è per il 655, quello per il 600 è qui . Inoltre, il manuale che citi non è d'accordo con l'emulatore: il firewall nell'emulatore (nelle impostazioni Avanzate / Firewall) è senza regole e sembra piuttosto semplice. Se questo è anche il caso sul tuo router, potresti essere in grado di utilizzare il controllo Avanzato / Accesso, selezionare Abilita controllo accessi, quindi utilizzare il pulsante Aggiungi criterio per aggiungere alcuni filtri. Purtroppo questo è disabilitato nell'emulatore, quindi non riesco a vedere cosa fa esattamente.
harrymc,
sei sicuro? Mi sembra che Aggiungi politica sia per il controllo del sito Web, non del DNS , sei sicuro che questo sia ciò di cui ho bisogno?
Graviton,
Il controllo genitori potrebbe funzionare - il manuale dice che gli indirizzi IP non sono supportati ma il tuo video dice che lo sono (ma senza porte), ma è facile per te controllarlo. È difficile sapere quando il manuale è incompleto e errato e quando molte funzioni sono disabilitate nell'emulatore. Quel router è di bassa qualità ed è anche nell'elenco dei dispositivi incompatibili noti di DD-WRT. Il mio sospetto è che hai bisogno di un router migliore (dopo aver visto quel manuale non consiglierei D-Link).
harrymc,
hai qualcosa da consigliare? Tutto ciò che posso uscire dalla scatola (non come ddwrt che ha bisogno di me per far lampeggiare il mio modem)
Graviton
1

Sembra che tu voglia solo bloccare UDP in uscita su 8.8.8.8 e 8.8.4.4, che dovresti essere in grado di fare bene se il tuo DNS di sistema non è impostato su quello (indovina Chromecast insiste prima sull'uso dei server DNS di Google? Non lo sapevi che )

Probabilmente vuoi bloccare anche TCP, non ricordo, ma Google potrebbe accettare anche risposte TCP su questi IP.

Del manuale che hai pubblicato, pagina 39 è ciò di cui hai bisogno.

  • Abilita SPI
  • Non preoccuparti per DMZ
  • Dovrai creare 4 regole, impostate su Nega, una per il protocollo UDP, l'indirizzo IP 8.8.8.8, UDP 8.8.4.4, TCP 8.8.8.8 e TCP 8.8.4.4. (Se ti consente di specificare "Entrambi" per il protocollo, ciò significa TCP e UDP e ne hai bisogno solo due)
  • L'intervallo di porte dovrebbe essere solo 53 o da 53 a 53 se insiste per farti specificare due numeri
  • Salva le impostazioni e riavvia il router
  • Verificare aprendo a cmd.exesu un sistema dietro il router e digitare nslookup google.com 8.8.8.8- dovrebbe fallire.
LawrenceC
fonte
Ho una domanda, la regola dell'indirizzo IP menzionata nel passaggio 3 sopra, dovrebbe essere l'indirizzo IP "Origine" o l'indirizzo IP "Dest"? Cosa devo compilare per entrambi "Origine" e "Dest"?
Graviton,
1
La fonte dovrebbe essere QUALSIASI o 0.0.0.0 e la destinazione dovrebbe essere 8.8.8.8, 8.8.4.4, ecc.
LawrenceC
Ho provato ... ma non ha funzionato, semplicemente perché il router dlink non mi consente di inserire QUALSIASI o 0.0.0.0 ... e se inserisco l'intervallo IP per il mio router, anche se il router mi consente un passaggio , ma il firewall non può bloccare la query DNS come previsto.
Graviton,
1

Le uniche due opzioni che potrebbero funzionare con questo router sono: Avanzate / Routing - Cosa che hai detto di non voler fare.

Oppure Filtro avanzato / in entrata se riesci a capire su quale indirizzo IP Google restituirà le informazioni sul tuo Chromecast. Probabilmente sarebbe lo stesso, 8.8.8.8 e 8.8.4.4, ma probabilmente c'è qualche magia di bilanciamento del carico in corso lì.

In modo che lasci Advanced / Router. Puoi instradare il traffico a un indirizzo IP LAN con quel router? Prova a instradarlo a un host inesistente sulla tua sottorete locale 8.8.8.8/255.255.255.255 e il tuo prossimo salto sarebbe qualcosa come 192.168.0.253 se stai usando le impostazioni di fabbrica.

Altrimenti, devi investire in un router diverso che è più capace.

Consiglierei forse la Buffalo AirStation N150. Ho avuto un discreto successo con loro in passato e sono stato in grado di caricare dd-wrt / openwrt quando sono stato così propenso.

Fare riferimento a pagina 56, nel suo manuale, secondo collegamento in basso. Le operazioni dovrebbero essere drop o ignore, direzione lan -> internet, sorgente 0.0.0.0, destinazione 8.8.8.8, protocollo tutto.

http://www.buffalotech.com/products/wireless/single-band-routers/airstation-n150-wireless-router http://cdn.cloudfiles.mosso.com/c85091/WCR-GN-Manual.pdf

David
fonte
David, il problema con il routing del traffico verso un indirizzo IP LAN è che avrei bisogno di conoscere il limite dell'indirizzo LAN (è 192.168.0.xo 192.168.8.x). Per ragioni di argomento, presumo che ciò non sia possibile perché voglio chiedere a mia nonna di installare questo router e non sa come leggere il suo indirizzo IP LAN
Graviton,
L'unica altra opzione è bloccare il traffico in entrata da 8.8.8.8 e 8.8.4.4. Quel router DLink non consente diversamente le regole del firewall personalizzate per la configurazione. Fa schifo, ma è la verità. Per quanto riguarda gli utenti tecnicamente ingenui che leggono o scoprono informazioni tecniche di base, l'ho fatto molte volte guidandoli a usare start -> run -> cmd -> ipconfig; l'indirizzo IP lan è disponibile anche dal router, setup -> impostazioni di rete.
David,
David, hai in mente un altro router di livello consumer che mi consente di farlo?
Graviton,
0

Non è necessario conoscere alcun indirizzo IP specifico nella rete locale per instradare questi indirizzi a un gateway fasullo.

Da Wikipedia :

In Internet Protocol versione 4 l'indirizzo 0.0.0.0 è un meta-indirizzo non instradabile utilizzato per designare un target non valido, sconosciuto o non applicabile.

Un'implementazione tipica utilizzata nel campo è il routing degli host di destinazione ( 8.8.8.8, 8.8.4.4) verso 0.0.0.0 .

Questo è chiamato percorso null .

Squeezy
fonte
L' indirizzo IP 0.0.0.0 ha molti usi ed è abbastanza pericoloso da usare. Il suo utilizzo più frequente è come route predefinita che specifica effettivamente tutte le reti .
harrymc,
Stai confondendo tra il routing a 0.0.0.0 (route null) e il routing 0.0.0.0. Il percorso predefinito è indicato come 0.0.0.0/0, che ha il significato di tutti i possibili indirizzi IP. Ho aggiornato la mia risposta con l'estratto applicabile dell'articolo relativo allo 0.0.0.0 che hai collegato.
Squeezy,
Conosco almeno un dispositivo che si imposta come 0.0.0.0 fino a quando non ottiene un IP migliore tramite DHCP. Penso ancora che questo IP specifico abbia troppe funzioni per essere usato in sicurezza. Il tuo consiglio ha buone probabilità di funzionare, ma può anche avere effetti collaterali in condizioni o software errati. Si prega di notare che non ho sottovalutato.
harrymc,
Tuttavia, non ci saranno pacchetti inviati a 0.0.0.0. Il protocollo DHCP lo utilizza come indirizzo di origine per specificare il fatto che non è stato ancora assegnato alcun indirizzo IP.
Squeezy,
0

Un modo semplice per bloccare qualsiasi indirizzo DNS è quello di aggiungerlo al FILTRO DEL SITO sul router D-Link che lo uso per bloccare alcuni blocchi IP dai miei giochi online.

opaco
fonte
Un modo davvero semplice .... ma che blocca anche le richieste non port 53. Quindi non utilizzare più Google come motore di ricerca ecc. Ecc.
Hennes,
-1

Come ha detto Beeks, non è possibile con il tuo software ufficiale Dlink e forse hai bisogno di un server Linux per reindirizzare il traffico.

Ma penso che puoi aggiornare il tuo router usando dd-wrt. È un firmware alternativo per il tuo router, offre molte più possibilità. Forse ti può aiutare. Il link alla wiki per il tuo router è: http://www.dd-wrt.com/wiki/index.php/DIR-600

Gp2mv3
fonte
Qualsiasi server OS come router intermedio con un firewall dovrebbe fare. Non solo Linux. Fork oltre $ 100 per Windows e funzionerà altrettanto bene. (Mi dispiace, sono un fan di Linux / BSD, ma non sono una parte essenziale di questa soluzione. Se hai un sistema di riserva con due schede di rete, puoi farlo banalmente. Immagino che molti visitatori SU lo abbiano. Probabilmente la nonna di OP lo fa no.
Hennes,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.