Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2015-05-09 11:05:58

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Przekierowanie zapytań dns

Szukam wyjaśnienia pewnego problemu, mianowicie na routerze wymusiłem by wszystkie zapytania na port 53 szły albo bezpośrednio na adres resolvera opendns (dnat), albo też router gdzie sobie stoi dnscrypt-proxy na 127.0.0.1 (redirect). Na lokalnym hoście ustawiłem sobie dns góglowy (8.8.8.8) i obserwowałem co się będzie dziać.

Jeśli się popatrzy co zwracają narzędzia nslookup albo dig, to mamy:

Kod:

$ dig debug.opendns.com txt
...
;; Query time: 20 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat May 09 10:15:48 CEST 2015
;; MSG SIZE  rcvd: 235

i

Kod:

$ nslookup wp.pl
Server:         8.8.8.8
Address:        8.8.8.8#53
...

Tu pokazuje ewidentnie resolver góglowy, z tym że pakiety trafiają w odpowiednie reguły w iptables, a w conntracku jest coś na wzór (redirect):

Kod:

ipv4     2 udp      17 33 src=192.168.1.150 dst=8.8.8.8 sport=55087 dport=53 packets=2 bytes=110 src=192.168.1.1 dst=192.168.1.150 sport=53 dport=55087 packets=2 bytes=212 [ASSURED] mark=0 use=2
ipv4     2 udp      17 33 src=192.168.1.150 dst=8.8.8.8 sport=58605 dport=53 packets=2 bytes=130 src=192.168.1.1 dst=192.168.1.150 sport=53 dport=58605 packets=2 bytes=407 [ASSURED] mark=0 use=2

lub (dnat):

Kod:

ipv4     2 udp      17 139 src=192.168.1.150 dst=8.8.8.8 sport=54931 dport=53 packets=2 bytes=134 src=208.67.222.222 dst=82.160.x.x sport=53 dport=54931 packets=2 bytes=218 [ASSURED] mark=0 use=2
ipv4     2 udp      17 176 src=192.168.1.150 dst=8.8.8.8 sport=59049 dport=53 packets=2 bytes=102 src=208.67.222.222 dst=82.160.x.x sport=53 dport=59049 packets=2 bytes=209 [ASSURED] mark=0 use=2

Z tego powyżej wychodzi, że działa ale te dwa powyższe narzędzia zwracają nie ten adres to trza -- da radę to fixnąć?

Ciekawa sprawa jest przy szyfrowanym dns:

Kod:

$ dig debug.opendns.com txt

; <<>> DiG 9.9.5-9-Debian <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34868
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com.             IN      TXT

;; ANSWER SECTION:
debug.opendns.com.      0       IN      TXT     "server 1.wrw"
debug.opendns.com.      0       IN      TXT     "flags 20 0 2F6 1950000000000000000"
debug.opendns.com.      0       IN      TXT     "originid 21970805"
debug.opendns.com.      0       IN      TXT     "actype 2"
debug.opendns.com.      0       IN      TXT     "bundle 6164589"
debug.opendns.com.      0       IN      TXT     "source 82.160.x.x:43725"
debug.opendns.com.      0       IN      TXT     "dnscrypt enabled (71447764594D3377)"

;; Query time: 22 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat May 09 10:49:42 CEST 2015
;; MSG SIZE  rcvd: 283

Teoretycznie niby resolver gógla ale dnscrypt-proxy działa. xD

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)