iKuai爱快流控路由

标题: 内网端口映射或端口劫持 [打印本页]
作者: xiaohhl    时间: 2018-11-15 03:58
标题: 内网端口映射或端口劫持
需求:把经过爱快的该端口请求重新请求到指定的IP对应的端口上。

假设场景1:我认为爱快的DNS少了,解释不够全面,想用自己的DNS服务器,我需要把所有经过爱快的53端口的请求都转到我指定的DNS服务器192.168.0.80的553端口上。

假设场景2:我不允许有人访问80端口,并且用一台服务器记录请求记录和信息。那外网进来的(这个可以通过端口映射解决)的80端口请求发送到192.168.0.80的8080端口上,内网任何人访问需要经过爱快的80的端口的请求,都重新请求到192.168.0.80的8080端口上。这样我就能知道外网的人,访问路由的这个端口做什么,内网有人要访问外网网页,都会被192.168.0.80记录到。

假设场景3:重要公告,拦截所有网页端口劫持到192.168.0.80上,再在192.168.0.80上建个简单的服务器,用户只要访问网页就能看到而且只能看到我们让看到的公告。

假设场景4:类似场景2来屏蔽并记录一些中毒 或感染的用户防止蔓延。

【附加需求确认。
好像爱快不能设置多于三个以上的DNS,是我不理解 的话还请解释。没有的话还请能否加一下。
主DNS为地市DNS,备用为腾讯dns,解释不到再向国外例如8.8.8.8请求,还没有的话,向某个特定的DNS服务器请求,例如内部DNS服务器。
保证正常的解释,效率是最好的,某些特殊的,慢点也能解释到。

作者: xiaoz    时间: 2018-11-15 10:33
需求:你可以在 “网络设置”--“端口映射”中找到这个功能,如有使用问题,欢迎骚扰007
DNS:收到需求~评审时我们讨论一下~
作者: xiaohhl    时间: 2018-11-15 11:47
本帖最后由 xiaohhl 于 2018-11-15 12:05 编辑
xiaoz 发表于 2018-11-15 10:33
需求:你可以在 “网络设置”--“端口映射”中找到这个功能,如有使用问题,欢迎骚扰007
DNS:收到需求~评 ...

端口映射的功能是有,这我知道。它只能完成这个功能的一半。我要的还包括内网对外访问的任何IP,只要端口是我指定的,都要转向访问我指定的IP而不是原IP。
又发现两个可以使用的地方:
小区网络里面为了增加业务,自己建个kms服务器,路由器上拦截1688端口转向到这个服务器,那样只要是小区里面的用户要激活windows,不管他设的服务器是哪个,对不对,都会直接转向自己建的kms服务器请求激活。
企业网络里面,不允许使用盗版windows系统或者不允许使用windows系统,把1688端口指向指定服务器,只要有人访问该端口就会向网管报警。
端口劫持也可以理解为端口重定向。


openwrt指令:wan:
config redirect
        option src wan
        option src_dport 53
        option proto udp
        option dest_ip 192.168.0.80
lan:
config redirect        option src lan
        option src_dport 53
        option proto udp
        option dest_ip 192.168.0.80
而ROS更简单:
add chain=dstnat protocol=udp port=53 action=dst-nat to-addresses=192.168.0.80   to-ports=53




作者: 小老弟    时间: 2018-11-16 14:51
感谢楼主提供的建议,针对需求作如下回复,如有疑问可以继续沟通,
1、DNS服务器一般提供递归和迭代两种查询方式,填写两个DNS服务器地址,大多数情况下肯定是够用的;
2、这种方式和审计非常类似,直接用审计的方式还不影响访问速度,目前路由器也支持记录网址访问日志,ikuai也提供审计产品,同时路由支持与网监对接;
3、目前网页劫持https效果不太理想,暂时没有发现更好的实现方式;
4、终端是否中毒可能需要另外的设备来判断,如果只是做端口重定向,适用性窄了一些;
作者: xiaohhl    时间: 2018-11-17 02:41
小老弟 发表于 2018-11-16 14:51
感谢楼主提供的建议,针对需求作如下回复,如有疑问可以继续沟通,
1、DNS服务器一般提供递归和迭代两种查 ...

1、我觉得的话,至少支持三个好点,个人而言,第一个是为了快,第二个是为了全也是第一个的后备,第三个补充不足。
4、我只是举例端口内网端口重定向几个用法,跟强制客户端DNS代理一样,只不过你们的强制,只限于本路由,而端口劫持,劫持所有DNS到某个IP。总之,这个端口劫持是为了某一个服务,因为一些原因,名字IP变动很快,而内网的人只需要访问该端口,不管IP是什么(只要经过路由器),都可以即时访问到。

说那么多,不是说功能很必要,只想说它跟端口映射一样,很有用(实际上它就是端口映射)。



欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3