Загадочная проблема с ядром Linux 5.10.7 -3

iptablesсам по себе не может принимать решения на основе содержимого пакета DNS, а только по адресу и номерам портов в заголовках пакетов. Как минимум, вам понадобится расширение iptables , например iptables -ext -dns .

Но мне кажется, что вместо этого вы могли бы захотеть прозрачное проксирование для DNS:вы могли бы настроить мини-компьютер на перенаправление любых исходящих пакетов, идущих на порт 53 (либо UDP или TCP )на DNS-сервер по вашему выбору,а затем настройте этот DNS-сервер для управления ответами по вашему желанию. По сути, вы будете проводить -в -среднюю атаку -на весь DNS-трафик, проходящий через ваш мини-компьютер.

Вы также должны знать, что существуют новые методы, направленные на криптографическую защиту трафика DNS, такие как DNS через HTTPS (, уже поддерживаемые Firefox 62 или более поздней версии )или DNS через TLS .

Если ваш клиент использует их, простое перенаправление трафика с порта назначения 53 не сможет перехватить эти запросы -, и даже если вы предпримете дополнительные шаги для перехвата трафика, тот факт, что очевидный DNS -над -любой сервер с сертификатом, отличным от ожидаемого, раскроет ваши манипуляции.

Кроме того, вы должны знать, что Youtube может быть доступен не только как youtube.com, но и как youtu.be и, возможно, через другие домены.