找回密码
 立即注册
img_loading
智能检测中

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888广告投放联系QQ68610888
glinet
查看: 2050|回复: 4

防火墙自定义规则请教

[复制链接]
发表于 2023-8-25 08:56 | 显示全部楼层 |阅读模式
麻烦大佬帮忙解读下防火墙下面几条自定义规则有啥用呢,可否注释掉呢:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
研究了半天,一知半解,原因就是刷了不同的固件发现有的防火墙里规则是空的,有的又有这几条,然后有这个规则的跑PDCN上行跑不满,没得这几条的上行能跑满(当然具体原因也许不是这几条规则的原因,猜测而已)。

只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
 楼主| 发表于 2023-8-25 09:03 | 显示全部楼层
好吧,找到AI进行解答了:
这些防火墙规则用于将传入的DNS流量(使用UDP和TCP协议,目的端口为53)重定向到本地的53端口。这通常用于实现DNS代理或DNS解析器。

这些规则的作用是将传入的DNS请求重定向到本地的53端口,以便在本地进行DNS解析或处理。这样可以对DNS流量进行更好的控制和管理。

如果您注释掉这些规则,传入的DNS流量将不会被重定向到本地的53端口,而是按照默认的防火墙规则进行处理。这可能会导致某些特定的DNS功能无法正常工作,或者无法使用自定义的DNS解析器。

如果您不需要特定的DNS代理或DNS解析器功能,并且没有其他特殊需求,您可以注释掉这些规则。但请注意,在修改防火墙规则之前,请确保您了解其影响,并确保您的系统安全。
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

发表于 2023-8-25 09:15 来自手机 | 显示全部楼层
要science或独立DNS服务 就去掉

点评

日常海淘使用,是不是就需要注释掉呢  详情 回复 发表于 2023-8-25 09:19
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2023-8-25 09:19 | 显示全部楼层
iamyangyi 发表于 2023-8-25 09:15
要science或独立DNS服务 就去掉

日常海淘使用,是不是就需要注释掉呢
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2023-11-20 10:12 | 显示全部楼层
再次补充下:
这些规则是路由器防火墙中针对 DNS(域名系统)流量的设置。让我们逐条解释这些规则:

iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53:这条规则使用iptables工具,在PREROUTING(报文到达路由器之前)阶段,捕获目标端口为UDP的53号端口的流量,并将其重定向到同样是53号端口的本地端口。

iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53:这条规则与第一条规则类似,但是针对的是TCP协议下的53号端口。

[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53:这是一个条件语句,用于检查是否存在ip6tables命令。如果存在,则执行一个类似的规则,但是针对的是IPv6的UDP协议下的53号端口。

[ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53:同样是一个条件语句,用于检查是否存在ip6tables命令。如果存在,则执行一个类似的规则,但是针对的是IPv6的TCP协议下的53号端口。

这些规则的目的是将所有经过路由器的DNS流量重定向到本地的53号端口,可能是为了实现某种自定义DNS配置或过滤策略。请注意,这些规则可能仅在特定的网络环境或特定的安全设置下使用,具体情况可能因路由器配置而异。对于更具体的解释和配置,请参考路由器防火墙的文档或与网络管理员进行进一步沟通。
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

欢迎大家光临恩山无线论坛

只谈技术、莫论政事!切勿转播谣言!为了你也为了他人。
只谈技术、莫论政事!(点击见详情) 切记不要随意传播谣言,把自己的日子过安稳了就行,为了自己好也为了大家好。 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。

查看 »

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2025-5-26 12:58

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com

快速回复 返回顶部 返回列表