内网端口映射或端口劫持

xiaohhl

需求：把经过爱快的该端口请求重新请求到指定的IP对应的端口上。

假设场景1：我认为爱快的DNS少了，解释不够全面，想用自己的DNS服务器，我需要把所有经过爱快的53端口的请求都转到我指定的DNS服务器192.168.0.80的553端口上。

假设场景2：我不允许有人访问80端口，并且用一台服务器记录请求记录和信息。那外网进来的（这个可以通过端口映射解决）的80端口请求发送到192.168.0.80的8080端口上，内网任何人访问需要经过爱快的80的端口的请求，都重新请求到192.168.0.80的8080端口上。这样我就能知道外网的人，访问路由的这个端口做什么，内网有人要访问外网网页，都会被192.168.0.80记录到。

假设场景3：重要公告，拦截所有网页端口劫持到192.168.0.80上，再在192.168.0.80上建个简单的服务器，用户只要访问网页就能看到而且只能看到我们让看到的公告。

假设场景4：类似场景2来屏蔽并记录一些中毒 或感染的用户防止蔓延。

【附加需求确认。
好像爱快不能设置多于三个以上的DNS，是我不理解 的话还请解释。没有的话还请能否加一下。
主DNS为地市DNS，备用为腾讯dns，解释不到再向国外例如8.8.8.8请求，还没有的话，向某个特定的DNS服务器请求，例如内部DNS服务器。
保证正常的解释，效率是最好的，某些特殊的，慢点也能解释到。
】

xiaoz

需求：你可以在 “网络设置”--“端口映射”中找到这个功能，如有使用问题，欢迎骚扰007
DNS：收到需求～评审时我们讨论一下～

xiaohhl

xiaoz 发表于 2018-11-15 10:33
需求：你可以在 “网络设置”--“端口映射”中找到这个功能，如有使用问题，欢迎骚扰007
DNS：收到需求～评 ...

端口映射的功能是有，这我知道。它只能完成这个功能的一半。我要的还包括内网对外访问的任何IP，只要端口是我指定的，都要转向访问我指定的IP而不是原IP。
又发现两个可以使用的地方：
小区网络里面为了增加业务，自己建个kms服务器，路由器上拦截1688端口转向到这个服务器，那样只要是小区里面的用户要激活windows，不管他设的服务器是哪个，对不对，都会直接转向自己建的kms服务器请求激活。
企业网络里面，不允许使用盗版windows系统或者不允许使用windows系统，把1688端口指向指定服务器，只要有人访问该端口就会向网管报警。
端口劫持也可以理解为端口重定向。


openwrt指令：wan:
config redirect
        option src wan
        option src_dport 53
        option proto udp
        option dest_ip 192.168.0.80
lan:
config redirect        option src lan
        option src_dport 53
        option proto udp
        option dest_ip 192.168.0.80
而ROS更简单：
add chain=dstnat protocol=udp port=53 action=dst-nat to-addresses=192.168.0.80   to-ports=53

小老弟

感谢楼主提供的建议，针对需求作如下回复，如有疑问可以继续沟通，
1、DNS服务器一般提供递归和迭代两种查询方式，填写两个DNS服务器地址，大多数情况下肯定是够用的；
2、这种方式和审计非常类似，直接用审计的方式还不影响访问速度，目前路由器也支持记录网址访问日志，ikuai也提供审计产品，同时路由支持与网监对接；
3、目前网页劫持https效果不太理想，暂时没有发现更好的实现方式；
4、终端是否中毒可能需要另外的设备来判断，如果只是做端口重定向，适用性窄了一些；

xiaohhl

小老弟 发表于 2018-11-16 14:51
感谢楼主提供的建议，针对需求作如下回复，如有疑问可以继续沟通，
1、DNS服务器一般提供递归和迭代两种查 ...

1、我觉得的话，至少支持三个好点，个人而言，第一个是为了快，第二个是为了全也是第一个的后备，第三个补充不足。
4、我只是举例端口内网端口重定向几个用法，跟强制客户端DNS代理一样，只不过你们的强制，只限于本路由，而端口劫持，劫持所有DNS到某个IP。总之，这个端口劫持是为了某一个服务，因为一些原因，名字IP变动很快，而内网的人只需要访问该端口，不管IP是什么（只要经过路由器），都可以即时访问到。

说那么多，不是说功能很必要，只想说它跟端口映射一样，很有用（实际上它就是端口映射）。