Перенаправление всего DNS трафика на указанный адрес

[wildrun0]

Всех приветствую!

Задача такая - перенаправлять все сторонние обращения к днс серверам (таким особенно любят страдать умные тв, которые не используют DNS указанные в dhcp) на свой dns сервер (в данном случае - Pi Hole)

Пробовал указывать правила через межсетевой экран, переадресацию портов - желаемого результата не добился. 
Судя по всему тут нужно как то через iptables реализовывать, но опыта не имею. Есть кто уже реализовывал подобные вещи?

[MDP]

Пробовали в межсетевом экране просто запретить 53 порт на выход? 

[wildrun0]

2 часа назад, MDP сказал:

Пробовали в межсетевом экране просто запретить 53 порт на выход? 

Да, если сделать правила как на скриншоте, то Pi Hole работать будет, но использование сторонних DNS приведет просто к их неработоспособности. А мне бы добиться именно перенаправления

 

Изменено 5 января, 2023 пользователем wildrun0

[BonDyaRa]

Это через ДНС фильтры делается. 

Создаёте там свой сервер и указываете его как дефолтный.

Кинетик сам заворачивает все ДНС запросы на роутер, а дальше использует ваш сервис.

[keenet07]

2 часа назад, BonDyaRa сказал:

Это через ДНС фильтры делается. 

Создаёте там свой сервер и указываете его как дефолтный.

Кинетик сам заворачивает все ДНС запросы на роутер, а дальше использует ваш сервис.

А как он сам будет работать? Находясь в локалке все его запросы будут транзитом перенаправляться на него же. 

Будет работать если только сам PiHole будет использовать какие-то неизвестные разработчикам внешние DNS сервера по защищенным протоколам.

Изменено 6 января, 2023 пользователем keenet07

[BonDyaRa]

2 часа назад, keenet07 сказал:

А как он сам будет работать? Находясь в локалке все его запросы будут транзитом перенаправляться на него же. 

Будет работать если только сам PiHole будет использовать какие-то неизвестные разработчикам внешние DNS сервера по защищенным протоколам.

Оно не так работает)

В 3.9 появился чекбокс "пропускать транзит" в настройках днс, так что такой проблемы не будет.

[keenet07]

9 часов назад, BonDyaRa сказал:

Оно не так работает)

В 3.9 появился чекбокс "пропускать транзит" в настройках днс, так что такой проблемы не будет.

Да. И когда галочка снята, тогда все транзитные запросы клиентов к левым DNS серверам заворачиваются роутером на указанные DNS. 

А если включить транзит, чтоб заработал PiHole, тогда кто будет ловить эти запросы? PiHole? Да нет. С любого клиента можно и мимо него запрос будет отправить.

Изменено 7 января, 2023 пользователем keenet07

[wildrun0]

16 часов назад, BonDyaRa сказал:

Кинетик сам заворачивает все ДНС запросы на роутер, а дальше использует ваш сервис.

При созданном правиле (на скриншоте), по умолчанию действительно, все запросы отправляются на указанный сервер. Но если в настройках той же винды указать сторонний DNS сервер, то это правило успешно игнорируется. Т.е. задача в том, чтобы такого не происходило.

[keenet07]

9 минут назад, wildrun0 сказал:

При созданном правиле (на скриншоте), по умолчанию действительно, все запросы отправляются на указанный сервер. Но если в настройках той же винды указать сторонний DNS сервер, то это правило успешно игнорируется. Т.е. задача в том, чтобы такого не происходило.

Так с вашими правилами в Межсетевом экране оно по-другому и не будет. Ваши запрещающие правила размещенные в Домашней сети они блокируют только входящий на интерфейс трафик. Т.е. блокировка для соединений инициированных снаруже. А у вас то запрос на 53 порт сначала идёт изнутри Домашней сети и только потом поступает входящий снаружи ответ. Но он уже не блокируется по правилам работы Межсетевого экрана.

https://help.keenetic.com/hc/ru/articles/360001429839-Как-реализован-межсетевой-экран-

Чтоб работало так как вы задумали для DNS запросов на 53 порту. Нужно разместить запрещающие правила для интерфейса как исходящий трафик. Это можно сделать через CLI, либо создать вкладку в Межсетвом экране для исходящего трафика на нужном интерфейсе.

[wildrun0]

15 минут назад, keenet07 сказал:

Так с вашими правилами в Межсетевом экране оно по-другому и не будет

Да, уже убрал эти правила.
У меня оказалась проблема в отсутствии компонента "Фильтрация контента". После его установки, действительно все сторонние DNS запросы перенаправляются в PiHole. Теперь проблема о которой писалось выше, о том что сама PiHole не может обратиться к своим серверам

[keenet07]

21 минуту назад, ANDYBOND сказал:

Они блокируют трафик, входящий в Домашнюю сеть, т.е. исходящий от устройств сегмента, иными словами, инициированный изнутри. Или по Вашей ссылке в техподдержке тоже всё врут?

Нет, в данном случае не врут. То что я написал выше это для WAN. А для Домашней сети, действительно всё наоборот.

[wildrun0]

56 минут назад, wildrun0 сказал:

Теперь проблема о которой писалось выше, о том что сама PiHole не может обратиться к своим серверам

Проблема решена путем поднятия dnscrypt-proxy на машине с PiHole 

[BonDyaRa]

4 часа назад, keenet07 сказал:

А если включить транзит, чтоб заработал PiHole, тогда кто будет ловить эти запросы? PiHole? Да нет. С любого клиента можно и мимо него запрос будет отправить.

В китнетике можно завести несколько профилей. Для PiHole делается отдельный профиль и указывается только для него пропуск транзита. 

[BonDyaRa]

2 часа назад, wildrun0 сказал:

Т.е. задача в том, чтобы такого не происходило.

Инфы на скрине недостатчно чтобы увидеть ваши настройки.

Для того чтобы кинетик перехватывал все ДНС запросы надо чтобы были включены фильтры.

У меня это именно так и работает, любые ДНС запросы заворачиваются на кинетик, а кинетик уже профилями управляет какой комп куда завернуть.

Как по мне, так использовать тут dnscrypt-proxy это из пушки по воробьям)