今天,我发现我的十几岁的儿子安装了恶意的Wi-Fi路由器。它直接插入我忘记在他房间里的以太网插孔。我认为他这样做是为了绕过我的互联网计划(和温和的OpenDNS过滤)。我想吓him他,而不是仅仅通过MAC地址禁止路由器,或者在包装盒上剪掉以太网电缆。虽然我对他的技能印象深刻,但令我失望的是他为我的网络打开了无密码的Wi-Fi AP。我在Raspberry Pi上建立了一个网站,上面写着“您已被黑...!”。我想将所有来自此路由器/访问点的流量转发到该Raspberry Pi网站。
到目前为止,我在这项工作中失败了。这是我的网络:
在网关模式下运行的DD-WRT v24-sp2(我的ISP的路由器处于DMZ模式,将所有内容发送到此路由器)。
$uname -a Linux DD-WRT-1 3.11.10 #98 Sat Mar 1 21:51:43 CET 2014 mips GNU/Linux流氓路由器是D-Link DIR-655。FWICT以192.168.0。*的形式提供地址。他必须更改了默认管理员密码。
- D-Link通过集线器连接到DD-WRT路由器,集线器是我家所有房间的连接点,但是我可以将它们全部屏蔽:我们不(通常,大声笑)不使用它们。
- 我有一个以太网端口,可将这些以太网端口带到其自己的VLAN(vlan3)上的DD-WRT路由器中。
- 我什至给流氓路由器一个静态IP,所以我总能找到它。
我已经尝试了几种iptables命令变体,我确信所有这些都能起作用。这是最有前途的,但是没有效果:
iptables -t nat -A OUTPUT -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80
- D-Link路由器在vlan3上
- 10.0.0.65:80是我的Raspberry Pi Web服务器的内部IP
我也尝试根据D-Link路由器的MAC地址执行此操作,但也没有任何效果。我一直在ssh与DD-WRT路由器的会话中运行这些iptables命令。
谁能帮助我或指引我正确的方向?我已经在线阅读了一些iptables文档和教程,但似乎没有任何效果。我是否需要重定向192.168.0.1/24地址范围?我尝试了一下,但没有任何结果。但是也许我做错了:
iptables -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -j DNAT --to-destination 10.0.0.65
请注意,您家的中央集线器连接到DD-WRT盒上的LAN端口,而在DD-WRT盒上,您将该端口配置为内部映射到vlan3的未编号(未标记)接口?我想确保您不会意外地期望D-Link框将VLAN ID为3的帧标记为VLAN。它们将以非VLAN标记的帧的形式出现。DD-WRT需要将该以太网端口上所有未加标签的传入帧视为vlan3帧。
—
Spiff
我怀疑他是否足够聪明,可以找出如何在不知情的情况下交付Wi-Fi路由器,进行设置并让它长时间广播而不引起您的注意,他可能会发现一条警报,说“您已被黑客入侵”为也是假的。只是我的2pennorth。互联网过滤器只是鼓励猫捉老鼠的游戏。
—
海鸥
Spiff-你说对了。我可能不正确:-)。这是我的工作:在dd-wrt配置中:设置-> VLAN->将端口1(我认为是路由器上的以太网插孔#1)设置为#3。我这样做是为了让放学后轻松地tcpdump他在网络上所做的事情。这可能是无关紧要的细节。
—
grubbyhacker's
海鸥-感谢您的2c。是的,我知道。我设置的网站比这要酷得多。他会发疯。
—
grubbyhacker's
iptables -A PREROUTING -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80