2

У меня есть dlink DIR 600L, и теперь я хочу настроить брандмауэр маршрутизатора для блокировки исходящих пакетов на DNS-серверы Google (8.8.8.8 и 8.8.4.4) для TCP/UDP и порт 53 (DNS), чтобы я мог используйте Chromecast для просмотра Netflix за пределами США.

Для блокировки исходящих пакетов на DNS-серверах Google (8.8.8.8 и 8.8.4.4) для TCP/UDP и порта 53 (DNS) необходимо установить только два правила на межсетевом экране маршрутизатора. Таким образом, Chromecast получит тайм-аут при попытке связаться с DNS-серверами Google и переключится на DNS-серверы, определенные на вашем маршрутизаторе, и ваш Netflix или Hulu снова заработают!

Другими словами, это то, что я хочу сделать:

Мне нужен маршрутизатор, способный фильтровать исходящие соединения, и каждый маршрутизатор, который я видел, может делать это как часть встроенного брандмауэра без необходимости перепрошивки альтернативной прошивки, поддерживающей iptables (такой как openwrt).

Обратите внимание, что я не ищу решения, такого как маршрутизация DNS-запроса на фиктивный шлюз, это решение требует знания IP-адреса ( 192.168.x.x), который ради этого вопроса непостижим.

Есть идеи, как я могу это сделать? Если маршрутизатор dlink не может с этим справиться, предложите маршрутизатор потребительского уровня (например, tp link, ASUS, Netgear и т.д., Но без маршрутизатора dd-wrt или томатного прошивки), который может это сделать. Обратите внимание, что я не смотрю на решение iptables.

Ресурсы:

  1. Вы можете найти эмулятор dlink здесь. Имя пользователя: Admin, пароль: пусто
|источник

7 ответов7

1

Не уверен, что вы найдете решение для этого на своем маршрутизаторе потребительского уровня. По сути, вам нужен сервер, чтобы сидеть в середине вашего соединения, или прокси-сервер, чтобы сидеть в середине и перехватывать весь трафик, идущий на DNS-серверы Google, и перестраивать пакеты для перенаправления в альтернативный пункт назначения.

Я уверен, что вы заглянули в файл Windows HOSTS и поняли, что он будет заменять только DNS-запросы, которые вам здесь не помогут.

Похоже, вам нужно будет расположить компьютер с Linux или Server 2003+ между вашим сервером и маршрутизатором. Взгляните на IPv4 в интерфейс IPv4 PortProxying.

http://technet.microsoft.com/en-us/library/cc731068%28v=ws.10%29.aspx

|источник
1

В руководстве пользователя D-Link DIR-600, к которому вы подключены, описан межсетевой экран маршрутизатора на стр. 39.

Страница справочника слишком коротка, чтобы быть уверенной, но вы сможете настроить правило брандмауэра, которое будет блокировать эти IP-адреса.

|источник
1

Единственные две опции, которые могут работать с этим маршрутизатором: Advanced / Routing - что вы сказали, что не хотите делать.

Или расширенную / входящую фильтрацию, если вы можете определить, с какого IP-адреса Google будет возвращать информацию в ваш chromecast. Скорее всего, это будет то же самое, 8.8.8.8 и 8.8.4.4, но там, вероятно, есть некоторая магия балансировки нагрузки.

Так что оставь Advanced / Router. Вы можете направить трафик на IP-адрес локальной сети с этим маршрутизатором? Попробуйте перенаправить его на несуществующий хост в локальной подсети 8.8.8.8/255.255.255.255, и ваш следующий прыжок будет выглядеть примерно как 192.168.0.253, если вы используете заводские настройки.

В противном случае вам нужно инвестировать в другой маршрутизатор, который более способный.

Возможно, я бы порекомендовал Buffalo AirStation N150. В прошлом у меня был разумный успех с ними, и я смог загрузить dd-wrt/openwrt, когда был так склонен.

Обратитесь к странице 56 в своем руководстве, вторая ссылка ниже. Операции следует отбрасывать или игнорировать, направление сети -> Интернет, источник 0.0.0.0, пункт назначения 8.8.8.8, протокол все.

http://www.buffalotech.com/products/wireless/single-band-routers/airstation-n150-wireless-router http://cdn.cloudfiles.mosso.com/c85091/WCR-GN-Manual.pdf

|источник
1

Похоже, вы просто хотите заблокировать исходящий UDP для 8.8.8.8 и 8.8.4.4, что вы должны сделать нормально, если ваш системный DNS не настроен на это (предположите, что Chromecast настаивает на использовании DNS-серверов Google в первую очередь? Не знал что)

Вы, вероятно, также хотите заблокировать TCP, я не помню, но Google может также принимать ответы TCP по этим IP-адресам.

Из руководства, которое вы разместили, страница 39 - это то, что вам нужно.

  • Включить SPI
  • Не беспокойся о DMZ
  • Вам нужно будет создать 4 правила: "Запретить", одно для протокола UDP, IP-адрес 8.8.8.8, UDP 8.8.4.4, TCP 8.8.8.8 и TCP 8.8.4.4. (Если он позволяет вам указать "Оба" для протокола, то это означает TCP и UDP, а вам нужно только два)
  • Диапазон портов должен быть только 53, или 53 до 53, если он настаивает на том, чтобы вы указали два числа
  • Сохраните настройки и перезапустите роутер
  • Проверьте это, открыв cmd.exe в системе за маршрутизатором и введите nslookup google.com 8.8.8.8 - он должен завершиться ошибкой.
|источник
0

Простой способ заблокировать любой DNS-адрес - добавить его в ФИЛЬТР ВЕБ-САЙТА на маршрутизаторе D-Link. Я использую его для блокировки некоторых IP-блоков в моих онлайн-играх.

|источник
0

Вам не нужно знать какой-либо конкретный IP-адрес в локальной сети, чтобы направить эти адреса на фиктивный шлюз.

Из Википедии:

В версии 4 интернет-протокола адрес 0.0.0.0 является не маршрутизируемым мета-адресом, используемым для обозначения недопустимой, неизвестной или неприменимой цели.

Типичная реализация, используемая в этой области, заключается в маршрутизации хостов назначения (8.8.8.8, 8.8.4.4) в направлении 0.0.0.0 .

Это называется нулевым маршрутом.

|источник
-1

Как сказали Бикс, это невозможно с официальным программным обеспечением dlink, и, возможно, вам нужен сервер Linux для перенаправления трафика.

Но я думаю, что вы можете обновить свой маршрутизатор с помощью dd-wrt. Это альтернативная прошивка для вашего роутера, предлагающая гораздо больше возможностей. Может быть, это может помочь вам. Ссылка на вики для вашего роутера: http://www.dd-wrt.com/wiki/index.php/DIR-600

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .