咨询求助：如何在DD-WRT中添加DNS劫持功能？

zhongrun

已经在DD中打开了DNSMASQ功能，在电脑或者手机等客户端上设置DNS服务器为网关IP地址时上网、下载等正常！

现在想解决这么一个问题：

如果在电脑、手机等客户端的网络设置了已经指定了DNS服务器，打开网站的时候它就会从自身的DNS来解析，而不能获取网关绑定的网址IP！

因此想到了在DD-WRT路由器中添加DNS（53端口）的劫持功能，不管客户端指定了什么DNS服务器，只要通过网关的53DNS端口请求就一律拦截，

并强制利用网关本身来作为DNS解析服务，网上查询了一些技术资料，大概齐好像通过IPTABLES的一个命令可以实现，故此望达人、高手帮忙

解决这个问题！！在此多谢，一起交流！

PS：用过iptables -t nat -I PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53       iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to-destination 192.168.1.1:53的命令，好像没有作用！

zhongrun

求助，顶上去

dato

http://www.dd-wrt.com/wiki/index.php/Tutorials
dd的文档上有一篇有提到，但是忘了是哪个了。

http://www.dd-wrt.com/wiki/index.php/OpenDNS

#Intercept DNS Port Specific Ip/Range
iptables -t nat -A PREROUTING -i br0 -m iprange ! --src-range 192.168.12.200-192.168.12.205 -p udp --dport 53 -j DNAT --to $(nvram get lan_ipaddr)
iptables -t nat -A PREROUTING -i br0 -m iprange ! --src-range 192.168.12.200-192.168.12.205 -p tcp --dport 53 -j DNAT --to $(nvram get lan_ipaddr)

这个是偶自己的，将非192.168.12.200-192.168.12.205之外的IP，对tcp/udp 53端口的DNS查询强制使用路由网关做为DNS服务器进行查询，这样就可以通过dnsmasq进行域名约束操作，广告过滤。

zhongrun

噢，还有就是怎么查看自己路由器的网络接口名称?也就是该填br0还是eth0,eth1,或者是vlan1,vlan2什么的?

zhongrun

dato 发表于 2012-6-2 21:45
http://www.dd-wrt.com/wiki/index.php/Tutorials
dd的文档上有一篇有提到，但是忘了是哪个了。

按你的方法试了一下，客户端指定DNS的话还是会本地解析，没有被拦截呀？

zhongrun

望高手指教一二！

zhongrun

大师都跑哪儿去了？

zhongrun

{:soso_e118:}{:soso_e127:}{:soso_e137:}