一方または他のDNSへの接続が切断されている間に、簡単なテレビセットトップボックスの動作を監視しようとしています。ボックスはDebianを含む単純なLinuxボックスの後ろにあり、DHCPなどを介してネットワークに接続されています。セットトップボックスが現在のDNSとの接続が切断された後に2番目のDNSに簡単に切り替えることができることを確認するために、仲介者をトラフィックフィルタとして使用しようとしています。
Linuxシステムでiptablesを介して接続を削除しようとし、DNSのIPを禁止してからシステムがpingを実行できない場合(iptables構成が適用されるという証拠)、セットトップボックスはまだDNSを正常に使用できます。 tcpdumpを使用したトラフィックは、実際の環境で発生する可能性がある完全または部分的なDNS障害をシミュレートすることを目的として、セットトップボックス自体がネットワークからすべての情報を取得していることを証明します。
Using variations of: (OUTPUT, -d)
iptables -A INPUT -s 212.X.X.X -j DROP
even (OUTPUT)
iptables -A INPUT -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 53 -j DROP
ここで私が何を見逃しているのかよくわかりません(確かに知っています)。また、ネットワーク接続インタフェースなどを指定しました。
答え1
IPTableのチェーンは、ターゲットINPUT
がIPTableを実行しているコンピュータであるトラフィックに対して機能します。転送されたトラフィックには影響しません。
FORWARD
コンピュータを通過するがコンピュータに転送されないパケットにはチェーンを使用する必要があります。
たとえば、
iptables -I FORWARD 1 -s 192.168.0.0/24 -d <destinationIP> -p udp --dport 53 -j DROP
このルールは、192.168.0.0/24ネットワーク上のすべてのUDPパケットをポート53にドロップします。