Leiten Sie DNS-Anforderungen mithilfe eines Routers und von iptables um

1

Ich habe einen Kabelmodem-Router von meinem ISP (Technicolor TC7210Z) und eine Reihe von kabelgebundenen und kabellosen Geräten angeschlossen. Ich möchte die DNS-Konfiguration für alle Geräte ändern, kann sie jedoch weder am Kabelmodem noch an einigen angeschlossenen Geräten ändern. Im Moment sieht es so aus:

Aktuelle Netzwerkeinrichtung ohne Kontrolle über DNS-Server

Ich glaube, dass die DNS-IP-Adressen auf dem betreffenden Gerät (Wireless-Gerät X) nicht fest codiert sind und nicht von DHCP bezogen werden, und daher die DNS-Adresse auf dem vom ISP bereitgestellten Kabelmodem-Router nicht festgelegt iptablesund zugeordnet werden kann Angeforderte DNS-IPs zu meinen bevorzugten DNS-IPs wären notwendig. Zu diesem Zweck erwäge ich den Kauf eines anderen Routers (Linksys WRT54GL), der (falls erforderlich) mit DD-WRT flasht und zwischen den Geräten und dem Router-Modem platziert und iptableswie folgt konfiguriert wird:

Vorgeschlagene Einrichtung mit zusätzlichem Router, der DNS-Umleitungen mithilfe von iptables ermöglicht

Ich möchte kein Geld für neue Hardware ausgeben, ohne zuversichtlich zu sein, dass dies funktioniert. Daher habe ich folgende Fragen:

  1. Hat dies den gewünschten Effekt, dass die DNS-Daten auf Wireless Device X geändert werden?
  2. Unter der Annahme, dass für die anderen angeschlossenen Geräte keine speziellen DNS-Anforderungen gelten, hat dies Nebenwirkungen? Wird die Kommunikation zwischen Geräten hinter dem neuen Router (den Geräten in meinem Netzwerk) beeinträchtigt?
  3. Ist es üblich, DNS zu verwenden, um andere Aufgaben als die Suche nach Domänennamen auszuführen?
networking router dns iptables Sennett
quelle
Können Sie DHCP auf Ihrem ISP-Router deaktivieren? Dann können Sie ein anderes Gerät in Ihrem Netzwerk über DHCP mit den erforderlichen Einstellungen versorgen. Dies setzt jedoch voraus, dass Sie DHCP auf dem ISP-Router ausschalten können. Und wenn das machbar ist, können einige andere Tricks ins Spiel kommen. Ansonsten ist Ihr Plan des DD-WRT wahrscheinlich der richtige Weg.
Raymond Burkholder
Ich habe nicht daran gedacht, ein anderes Gerät als DHCP-Anbieter zu verwenden. Der vom Internetdienstanbieter bereitgestellte Router verfügt über Optionen zum Deaktivieren von DHCP im LAN (bietet jedoch keine Schnittstelle zum Ändern der DNS-Server, auch wenn DHCP ausgeschaltet ist). In diesem Fall wird es jedoch meiner Meinung nach nicht funktionieren. Das drahtlose Gerät verfügt über fest codierte DNS-IPs (die von DHCP ignoriert werden). Während dies also für andere Geräte funktioniert, verwendet das Gerät weiterhin die fest codierten DNS-IPs.
Sennett
Der Trick hängt davon ab, ob Sie Ihr Netzwerk kennen. Erstellen Sie für die fest codierten DNS-Adressen ein separates Subnetz in Ihrem Netzwerk, das diese speziellen DNS-Adressen enthält. Erstellen Sie einen speziellen Host, der diese Adressen überwacht. Führen Sie etwas Ähnliches wie dnsmasq auf diesem Host aus, um die DNS-Auflösung zu handhaben. Es kann auch Ihr Haupt-DNS- und DHCP-Server sein. Der Nachteil ist, dass Sie diese Adressen nicht extern erreichen können, da sie intern umgeleitet wurden.
Raymond Burkholder
Danke für Ihre Hilfe. Ich lerne viel. Eines der Geräte ist ein RasberryPI, das immer über Ethernet verbunden ist, und das Gerät mit dem fest codierten DNS ist ein drahtloses Gerät. Könnte ich das Subnetz (+ dnsmasq) auf dem RPi erstellen und es dem LAN aussetzen, oder benötige ich einen zusätzlichen Router, um das Subnetz zu erstellen? Wenn die Verwendung eines RPi konzeptionell korrekt ist, würde dies Auswirkungen auf die Leistung haben? Zweite Frage: Unter der Annahme, dass ich das Subnetz eingerichtet habe, wäre eine zusätzliche Konfiguration erforderlich, damit Geräte über Subnetze hinweg kommunizieren können, oder ist es besser, wenn sich alles im selben Subnetz befindet?
Sennett
Alles gute Fragen. Und verschiedene Kombinationen von Konzepten wie Standard-Gateway, Bridging, VLAN, sekundäre IP-Adressen, Routing, ... kommen ins Spiel. Das Himbeer-Pi, das auf Linux basiert, ist möglicherweise in der Lage, all diese Dinge für Sie aus einer Befehlszeilenperspektive auszuführen. ip link, ip neigh, ip addr, ip route, ... sind einige der Befehle, die von Wert wären. Leider habe ich nicht die Zeit, das Ganze für Sie zu planen.
Raymond Burkholder

Antworten:

1

Der Kauf eines WLAN-Routers mit einer von Ihnen gesteuerten Konfiguration ist der einfachste Weg, dies zu tun. Basierend auf Ihren beschriebenen Szenario, Sie haben etwas zwischen dem nicht steuerbaren ISP Router und andere Geräte mindestens Intercept DHCP - Anfragepakete zu setzen und das Antwortverhalten ändern (für welche DNS - Server zu verwenden). Sie brauchen sich nicht einmal um DD-WRT zu kümmern, da Sie mit so ziemlich jedem WLAN-Router, den Sie in Ihrem örtlichen Big Box-Geschäft kaufen können, auch die DNS-Server angeben können, die von der in diesem Gerät integrierten DHCP-Funktion ausgegeben werden Eine Reihe weiterer Funktionen (Firewalls, Portweiterleitung, Blacklists, Whitelists usw.) sind für nur 25 US-Dollar für ein Basismodell sehr günstig erhältlich.

Und Sie können natürlich mehr US-Dollar ausgeben, um ein viel besseres drahtloses Upgrade zu erhalten, z. B. auf den 802.11ac-Standard (zum jetzigen Zeitpunkt).

Das einzige , was Sie noch nicht die Kontrolle haben über irgendein lustiges Geschäft innerhalb Ihres ISPs Infrastruktur geht stromaufwärts von dem Kabelmodem, zB viele ISPs in diesen Tagen abfangen alle DNS - Anfragen - unabhängig davon , wo sie bestimmt sind - und auf ihre eigenen Server umleiten. Vorbehalt Emptor. Wenn das so ist, wird es sehr interessant, das zu umgehen.

Milli
quelle
Ich habe nicht einmal daran gedacht, dass der ISP DNS-Anfragen wie diese weiterleiten könnte. Zum Glück sind sie nicht in meinem Fall. Vielen Dank für eine tolle Antwort. Wie bereits im obigen Kommentar erwähnt, reicht es nicht aus, das von DHCP bereitgestellte DNS zu ändern, da die Geräte fest codierte DNS-IPs haben und die von DHCP bereitgestellten DNS-IPs vollständig ignorieren. Ich denke, die einzige Möglichkeit ist, die IP des DNS-Anforderungsverkehrs umzuleiten (oder zu blockieren, falls das Gerät die richtigen DNS-IPs erreicht). Ich denke, ich werde 802.11ac für den Moment verlassen - es ist erheblich teurer und keines meiner Geräte unterstützt es im Moment.
Sennett