сделать редирект ipfw

[votuanr]

завелась какаято гадость, которая подменяет ip днс на хостах на другой
подробнее http://www.yandex.ru/yandsearch?text=19 ... &stype=www

Код: Выделить всё

Feb 28 16:31:44 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
Feb 28 16:31:47 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
Feb 28 16:31:51 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0
Feb 28 16:31:59 gw kernel: ipfw: 65000 Deny UDP 192.168.111.60:1025 194.67.57.104:53 in via xl0

как форвардить такие запросы на мой внутренний dns? немогу разобраться

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alex3]

Код: Выделить всё

{fwcmd} add fwd IP_DNS_local,53 udp from 192.168.111.60 to 194.67.57.104:53 in via xl0

[dikens3]

Уверен, что это запрос, а не просто тупой пакет?
Зачем его на свой DNS то тянуть?

[votuanr]

c чего от должен быть пакетом-то? он же замняет все dns на хосте на себя. В сети с win-доменом понятно к чему приводит.

а как быть с этим?

Код: Выделить всё

 The fwd action does not change the contents of the packet at all.
In particular, the destination address remains unmodified, so
packets forwarded to another system will usually be rejected by
that system unless there is a matching rule on that system to
capture them.

и похоже не работает....

Код: Выделить всё

Mar  1 11:39:46 gw kernel: ipfw: 10666 Forward to 192.168.111.4:53 UDP 192.168.111.3:27738 194.67.57.104:53 in via xl0
Mar  1 11:39:46 gw kernel: ipfw: 3800 Accept UDP __GW_IP___:27738 194.67.57.104:53 out via dc0
Mar  1 11:39:46 gw kernel: ipfw: 4784 Accept UDP 194.67.57.104:53 192.168.111.3:27738 in via dc0
Mar  1 11:39:46 gw kernel: ipfw: 4783 Accept UDP 194.67.57.104:53 192.168.111.3:27738 out via xl0

Код: Выделить всё

root@gw# ipfw show 3800 4784 4783
03800   3866    241835 allow log ip from __GW_IP___ to any out xmit dc0
04784     10      1953 allow log udp from any 53 to any in via dc0
04783     10      1953 allow log udp from any 53 to any out via xl0

[dikens3]

Так, давай немного определимся.

1. Ты форвардишь пакет, но адрес назначения остался тот же, так?
С какой радости его возьмётся обрабытывать твой DNS, если этот пакет не предназначен для него?

Чего ты хочешь добиться? Чтобы работал DNS у клиентов? Тогда лечить нужно, а не изобретать велосипед.

2. Firewall должен блокировать все ненужные запросы. В данном случае правила примут вид.

Код: Выделить всё

04784     10      1953 allow log udp from DNS_СЕРВЕРА_ПРОВА 53 to МОЯ_СЕТЬ in via dc0
04783     10      1953 allow log udp from DNS_СЕРВЕРА_ПРОВА 53 to МОЯ_СЕТЬ out via xl0
Всё остальное в лес.

Есть ли кешир. DNS?

[votuanr]

Так, давай немного определимся.

1. Ты форвардишь пакет, но адрес назначения остался тот же, так?
С какой радости его возьмётся обрабытывать твой DNS, если этот пакет не предназначен для него?

именно это и написано в мане. и именно поэтому не работает, это понятно было с самого начала.

Чего ты хочешь добиться? Чтобы работал DNS у клиентов? Тогда лечить нужно, а не изобретать велосипед.

потрать 2 минуты и пробегись по ссылкам из первого сообщения

Есть ли кешир. DNS?

есть.

обобщим. я хочу, чтобы все dns запросы из локальной сети (от клиентов), которые идут к внешним dns серверам заворачивались на мой внутренний кеширующий dns. типа ната (не нат. типа ната)

можно конечно заставить dns на шлюзе слушать этот внешний ip и все, но както ненравится мне это

[dikens3]

Тогда твой DNS должен уметь работать как transparent.

[dikens3]

потрать 2 минуты и пробегись по ссылкам из первого сообщения

И? Format C: лечит от всего. Гарантирую.