X86 RouterOS 7.18 设置笔记八:策略路由及DNS劫持
X86 j4125 4网口小主机折腾笔记五:PVE安装ROS RouterOS
X86 RouterOS 7.18 设置笔记一:基础设置
X86 RouterOS 7.18 设置笔记二:网络基础设置(IPV4)
X86 RouterOS 7.18 设置笔记三:防火墙设置(IPV4)
X86 RouterOS 7.18 设置笔记四:网络设置(IPV6)
X86 RouterOS 7.18 设置笔记五:防火墙设置(IPV6)
X86 RouterOS 7.18 设置笔记六:端口映射(IPv4、IPv6)及回流问题
X86 RouterOS 7.18 设置笔记七:不使用Upnp的映射方法
X86 RouterOS 7.18 设置笔记八:策略路由及DNS劫持
X86 RouterOS 7.18 设置笔记九:上海电信单线复用IPTV设置
X86 RouterOS 7.18 设置笔记十:上海电信IPTV使用msd_lite实现组播转单拨
目录标题
- 实现的目标
- 注:DHCP下发的网关和DNS必须为RouterOS本身
- 添加路由表abc
- 设置路由表abc下一跳网关为192.168.0.5
- 防火墙设置
- 创建地址列表proxy_cidr(需要转发到分流地址的所有的目标IP地址)
- 允许转发列表proxy_cidr内地址(放到防火墙规则第一行)
- 给目标为proxy_cidr列表地址的流量添加abc标记
- 没有abc标记的流量源地址转换为路由器的公网IP地址(不分流到abc的流量正常出去)
- DNS劫持proxy_device列表内的地址流量到abc的IP地址
- 设置需要劫持的设备
实现的目标
注:DHCP下发的网关和DNS必须为RouterOS本身
添加路由表abc
/routing table add disabled=no fib name=abc
设置路由表abc下一跳网关为192.168.0.5
/ip route add comment=route gateway=192.168.0.5 routing-table=abc
防火墙设置
创建地址列表proxy_cidr(需要转发到分流地址的所有的目标IP地址)
/ip firewall address-list add address=198.18.0.0/15 list=proxy_cidr
允许转发列表proxy_cidr内地址(放到防火墙规则第一行)
/ip firewall filter add action=accept chain=forward dst-address-list=proxy_cidr
给目标为proxy_cidr列表地址的流量添加abc标记
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=proxy_cidr new-routing-mark=abc
没有abc标记的流量源地址转换为路由器的公网IP地址(不分流到abc的流量正常出去)
/ip firewall nat add action=masquerade chain=srcnat comment="masquerade no abc IPv4" routing-mark=!abc src-address=192.168.0.0/16
DNS劫持proxy_device列表内的地址流量到abc的IP地址
/ip firewall nat add action=dst-nat chain=dstnat comment=abc_proxy_dnsnat dst-address=192.168.0.1 dst-port=53 protocol=udp src-address-list=proxy_device to-addresses=192.168.0.5 to-ports=53
设置需要劫持的设备
- 任何时候不要把分流目的地的IP加入到proxy_device中,否则会引起环回导致崩溃。
- 方法1:点击 ip -> dhcp server -> lease 找到需要代理的设备,选中,点击make static,然后双击编辑,address list那里填上proxy_device即可
- 方法2:如设备ip为192.168.0.150,添加到address-list中