这是一个创建于 3260 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在 iptables 添加了如下两条规则:
iptables -t nat -A OUTPUT -m owner --uid-owner {0} -j RETURN
iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 1111
将 DNS 转发到了我自己的程序(监听 1111 ),然后在我自己的程序里面从 UDP 包里拆出了域名,并且再调用 InetAddress.GetByName(domain).HostAddress 希望能再利用系统自己的 DNS 解析出 IP (我扮演了一个代理的角色),但是发现这个调用又被转发到了自己于是形成了无限递归,可是我第一条规则应该已经跳过了自己发出的任何数据包啊,代理 80 之类的都是没问题的,不知道为什么 DNS 会这样
 |
1
ryd994 2015-12-15 00:02:47 +08:00 via Android
1.你用 uid0 , root 干这种事情真的不要紧么?
2. 既然有 root ,直接改 DNS 不是更好吗? 3.udp 不一定有 socket owner 这个概念,或者 iptables 不一定能查到 |
 |
2
yamada OP @ryd994
1 、不要紧 2 、我想要记录下所有的 DNS 解析,包括要解析的域名和解析后的 IP 地址,目前只能这样尝试,也试过 pdnsd 和 dnsmasq ,前者输出日志没解析出来的 IP ,后者根本不输出日志 3 、看来我只能把这个域名通过 HTTP 发送到远程去解析? |
|
3
ryd994 2015-12-15 00:51:14 +08:00
|
 |
5
pagxir 2015-12-15 08:53:37 +08:00 via Android
哦, Android 里其实是由 dnsmasq 进程最后发请求给远端的 dns 服务器的。所以需要将该进程处理下,否则就 loopback 回来了。
|
 |
6
hellogbk 2015-12-15 09:24:12 +08:00
不是太了解 iptables ,不过我记得可以在过滤数据包的时候匹配到进程的 ID 吧? 如果发现是你的代理程序的进程,那么直接 RETURN 不进行 REDIRECT 这样行不行?
|
 |
8
lhbc 2015-12-15 11:05:22 +08:00 via Android
1111 端口的进程用另外一个用户跑试试。
dnsmasq 记录日志妥妥的,毫无问题。 |
|
9
yamada OP @hellogbk
就是这样做的,看我第一条规则,但是我自己程序内部调用 InetAddress.GetByName 还是会转回到我自己 @pagxir 现在我没有使用 dnsmasq ,而是自己监听 1111 得到了 dns upd 包,拆出了要解析的域名,然后调用 InetAddress.GetByName(domain).HostAddress ,然后 loopback 了 @lhbc 之前我也尝试过 dnsmasq , dnsmasq 跑在 android 上面,这是我的配置 log-queries log-facility=/data/data/xxx/dnsmasq.log log-async=1 no-resolv no-poll server=114.114.114.114 listen-address=127.0.0.7 interface=lo pid-file=/data/data/xxxx/dnsmasq.pid dnsmasq 启动的时候 dnsmasq.log 会自动生成,但是里面永远是空的……不知道为什么 |
|
10
pagxir 2015-12-15 11:44:56 +08:00 via Android
我是说这个调用 InetAddress.GetByName(domain).HostAddress 会最终跑到 dnsmasq 进程处理。除非你不是只 andriod 设备。
|
|
11
pagxir 2015-12-15 11:46:13 +08:00 via Android
andriod 自己是用 dnsmasq 缓存域名的。
|
|
12
yamada OP @pagxir 所以我需要--uid-owner return 掉 dnsmasq 么?但是我在 ps|grep dns 里找不到 dnsmasq 的进程,不知道该怎么过滤他……
|
 |
13
Jeansh 2015-12-15 13:08:03 +08:00
bind 的 dns cache 可以吧
服务器上跑 bind 只转发 dns 请求并回复 可以记录 所有-p udp --dport 53 重定向到本机的 bind 监听端口就行 |
|
14
Jeansh 2015-12-15 13:08:36 +08:00
CHAIN 是 FORWARD 才对吧?
|
|
15
Jeansh 2015-12-15 13:12:08 +08:00
应该这样吧 nat 表, 路由前:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-port 1111 |
|
16
Jeansh 2015-12-15 13:13:21 +08:00
添加在 output 链已经晚了。
|
 |
17
fxxkgw 2015-12-15 13:22:22 +08:00
赞同 LZ 上 转发端口或者 IP 的话 需要用 PREROUTING 而不是 OUTPUT
|
|
18
yamada OP @Jeansh
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-port 1111 使用这个以后在 3G\4G 下根本就没转发过来了…… iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 127.0.0.1:8153 使用这个在 3G\4G 下也有问题,连接过来的是一个远程的 IP 地址…… 在 WIFI 下都可以 |
|
19
yamada OP 不好意思避免误会解释一下,上面的 1111 和 8153 都是示例,只是为了说明,并不是因为这个导致的错误
|
|
20
Jeansh 2015-12-15 16:46:15 +08:00
|
 |
21
Sacore 2015-12-16 01:44:58 +08:00 via iPhone
3g/4g 。。不会是搞免流代理吧。。
|
|
22
yamada OP |
|
23
yamada OP 应用里面对 https 的调用,证书是不是不认 SAN ?我自签 CA 已添加到系统信任里,然后用它再签发其他的证书来做中间人响应应用里面的 HTTPS ,在浏览器里面没问题不会提示证书错误,但应用不行,试了好几个都报错,应该是证书错误
|
Select Language