转:https://www.cnblogs.com/nicephil/p/8073476.html
原理
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域...
转:https://www.cnblogs.com/nicephil/p/8073476.html
原理
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储在ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发。
Dnsmasq接收到一个DNS查询请求,首先匹配配置文件中的域名列表,如果匹配成功某域名,就把IP的查询结果存储在一个或几个ipset集合中,然后使用iptables对这个ipset中的全部ip进行匹配并做相应的处理,如DROP或者REDIRECT。
ipset是 Linux 防火墙iptables的一个伴随工具。 除了其他众多功能,它允许你建立规则来轻松愉快地屏蔽一组IP地址。
步骤
- dnsmasq-2.48没有ipset特性,安装dnsmasq-2.71来支持ipset
wget http://www.thekelleys.org.uk/dnsmasq/dnsmasq-2.71.tar.gz
tar xzf dnsmasq-2.71.tar.gz
cd dnsmasq-2.71
make && sudo make install
1.1 加入dnsmasq-full的ipset对应配置
/etc/dnsmasq.conf
conf-dir=/etc/dnsmasq.d
1.2 加入dnsmasq_list.conf到/etc/dnsmasq.d/
git clone https://github.com/cokebar/gfwlist2dnsmasq.git
cd gfwlist2dnsmasq
python2 gfwlist2dnsmasq.py
mkdir /etc/dnsmasq.d
cp dnsmasq_list.conf /etc/dnsmasq.d
1.3 dnsmasq_list.conf格式
#使用不受污染的DNS解析该域名,可以将此IP改为自己使用的DNS服务器
server=/google.com/127.0.0.1#5353
#将解析出来的IP保存到名为gfwlist的ipset表中
ipset=/google.com/gfwlist
- 安装SS
https://copr.fedorainfracloud.org/coprs/librehat/shadowsocks/repo/epel-6/librehat-shadowsocks-epel-6.repo
mv librehat-shadowsocks-epel-6.repo /etc/yum.repos.d/
yum update
yum install shadowsocks-libev
wget https://cokebar.info/wp-content/uploads/2014/11/shadowsocks-libev
mv shadowsocks-libev /etc/init.d/
2.1. 修改SS配置文件,并启动
cat /etc/shadowsocks-libev/config.json
{
\"server\":\"x.x.x.x\",
\"server_port\":xxxx,
\"local_address\":\"127.0.0.1\",
\"local_port\":1080,
\"password\":\"********\",
\"timeout\":300,
\"method\":\"rc4-md5\"
}
命令行执行并打开debug log来查看
ss-redir -c /etc/shadowsocks-libev/config.json -b 0.0.0.0 -v
ss-tunnel -c /etc/shadowsocks-libev/config.json -b 0.0.0.0 -l 5353 -L 8.8.8.8:53 -u -v
- 安装ipset工具
yum install ipset
3.1 创建对应的ipset
#创建名为gfwlist,格式为iphash的集合
ipset -N gfwlist iphash -!
- 创建iptables表
#匹配gfwlist中ip的nat流量均被转发到shadowsocks端口
iptables -t nat -A PREROUTING -p tcp -m set --match-set gfwlist dst -j REDIRECT --to-port 1080
#匹配gfwlist中ip的本机流量均被转发到shadowsocks端口
iptables -t nat -A OUTPUT -p tcp -m set --match-set gfwlist dst -j REDIRECT --to-port 1080
NOTE:如果INPUT链被默认DROP还需要打开1080端口
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1080 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1080 -j ACCEPT
版权声明
本文仅代表作者观点,不代表百度立场。
本文系作者授权百度百家发表,未经许可,不得转载。
