指定 DNS 查询

beyes

一般情况下，DNS 使用 53 端口查询，可通过 UDP 或 TCP 来传输，在网关上，可以将通过 53 端口的流量劫持到指定的 DNS 服务器上，方法是：

iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT --to 192.168.1.1

其中 eth1 为 wan 口网口，因为用户可能指定外网的一个 DNS 服务器。

这里解释一下，为什么要用 PREROUTING 链。记住一点，如果我们下达的命令，目的是要去修改数据包的 “目的 IP” 时，就应该放在 PREROUTING 中。客户端查询的数据包的流向是，查询数据包进入到路由器，原本只是希望路由简单的将其 FORWARD 到目的的 DNS 中去（比如在 windows 中指定了 114.114.114.114 这个公共 DNS），但是在路由里，我们并不希望它这样做，而是将其劫持到本地服务器，这里其实就是想将 114.114.114.114 这个目的地址修改，因此就要放在 PREROUTING 中去执行了。