iptablesを介してDNS接続を切断してテストする

iptablesを介してDNS接続を切断してテストする

一方または他のDNSへの接続が切断されている間に、簡単なテレビセットトップボックスの動作を監視しようとしています。ボックスはDebianを含む単純なLinuxボックスの後ろにあり、DHCPなどを介してネットワークに接続されています。セットトップボックスが現在のDNSとの接続が切断された後に2番目のDNSに簡単に切り替えることができることを確認するために、仲介者をトラフィックフィルタとして使用しようとしています。

Linuxシステムでiptablesを介して接続を削除しようとし、DNSのIPを禁止してからシステムがpingを実行できない場合(iptables構成が適用されるという証拠)、セットトップボックスはまだDNSを正常に使用できます。 tcpdumpを使用したトラフィックは、実際の環境で発生する可能性がある完全または部分的なDNS障害をシミュレートすることを目的として、セットトップボックス自体がネットワークからすべての情報を取得していることを証明します。

Using variations of: (OUTPUT, -d)
iptables -A INPUT -s 212.X.X.X -j DROP
even (OUTPUT)
iptables -A INPUT -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 53 -j DROP

ここで私が何を見逃しているのかよくわかりません(確かに知っています)。また、ネットワーク接続インタフェースなどを指定しました。

答え1

IPTableのチェーンは、ターゲットINPUTがIPTableを実行しているコンピュータであるトラフィックに対して機能します。転送されたトラフィックには影響しません。

FORWARDコンピュータを通過するがコンピュータに転送されないパケットにはチェーンを使用する必要があります。

たとえば、

iptables -I FORWARD 1 -s 192.168.0.0/24 -d <destinationIP> -p udp --dport 53 -j DROP

このルールは、192.168.0.0/24ネットワーク上のすべてのUDPパケットをポート53にドロップします。

関連情報