Heute habe ich festgestellt, dass mein Sohn im Teenageralter einen falschen WLAN-Router installiert hat. Es wird direkt an die Ethernet-Buchse angeschlossen, die ich in seinem Zimmer vergessen habe. Ich nehme an, er hat es getan, um meinen Internet-Zeitplan zu umgehen (und milde OpenDNS-Filterung). Anstatt nur den Router nach MAC-Adresse zu sperren und vielleicht das Ethernet-Kabel an der Box durchzuschneiden, möchte ich ihn erschrecken. Obwohl ich von seinen Fähigkeiten beeindruckt bin, bin ich enttäuscht, dass er meinem Netzwerk einen WLAN-Zugangspunkt ohne Passwort eröffnet hat. Ich habe eine Website auf einem Himbeer-Pi eingerichtet, auf der steht: "Sie wurden gehackt ...!" Ich möchte den gesamten Datenverkehr von diesem Router / Access Point an diese Raspberry Pi-Website weiterleiten.
Ich bin bisher in diesem Bestreben gescheitert. Hier ist mein Netzwerk:
DD-WRT v24-sp2, ausgeführt im Gateway-Modus (Ich habe den Router meines ISP im DMZ-Modus, der alles an diesen sendet).
$uname -a Linux DD-WRT-1 3.11.10 #98 Sat Mar 1 21:51:43 CET 2014 mips GNU/LinuxDer Rogue-Router ist ein D-Link DIR-655. FWICT dient Adressen in Form von 192.168.0. *. Er muss das Standard-Administratorkennwort geändert haben.
- Der D-Link ist über einen Hub mit dem DD-WRT-Router verbunden, der eine Verbindung zu allen Räumen in meinem Haus darstellt. Ich kann sie jedoch problemlos blockieren: Wir verwenden sie (normalerweise) nicht.
- Ich habe den Ethernet-Port, der diese Ethernet-Ports in den DD-WRT-Router auf einem eigenen VLAN (vlan3) bringt.
- Ich habe dem Rogue-Router sogar eine statische IP-Adresse zugewiesen, damit ich sie immer finden kann.
Ich habe verschiedene Befehlsvarianten ausprobiert iptables, von denen ich mir sicher war, dass sie funktionieren würden. Hier ist das vielversprechendste, aber es hatte keine Wirkung:
iptables -t nat -A OUTPUT -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80
- Der D-Link-Router ist auf vlan3
- 10.0.0.65:80 ist die interne IP meines Raspberry Pi Webservers
Ich habe auch versucht, dies basierend auf der MAC-Adresse des D-Link-Routers zu tun, aber es hatte auch keine Auswirkung. Ich habe diese iptables-Befehle in einer sshSitzung mit dem DD-WRT-Router ausgeführt.
Kann mir jemand helfen oder mich in die richtige Richtung lenken? Ich habe mehrere iptables-Dokumente und -Anleitungen online gelesen, aber nichts scheint zu funktionieren. Muss ich den Adressbereich 192.168.0.1/24 umleiten? Ich habe es versucht, aber keine Ergebnisse erzielt. Aber vielleicht habe ich es falsch gemacht:
iptables -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -j DNAT --to-destination 10.0.0.65
quelle
iptables -A PREROUTING -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80