本帖最后由 neme 于 2023-5-3 07:42 编辑
因为openclash在旁路由
主路由通过配置/etc/config/dhcp,负责IPV6和IPV4的DHCP分配
- config host
- option name 'pc'
- option dns '1'
- option mac '28:28:28:28:28:28'
- option tag 'gg'
- option ip '192.168.1.66'
- config tag 'gg'
- list dhcp_option '3,192.168.1.2'
- list dhcp_option '6,192.168.1.2'
- option force '1'
复制代码 目前IPV6会导致openclash的dns泄露,但又不能完全禁用,因为有些需要openclash服务的设备,还需要在p2p下载时通过ipv6加速。
在DHCP中-高级有"禁止解析IPv6DNS记录"的配置,但是会对全部生效,会影响不需要openclash服务的设备正常使用ipv6。
如何针对特定MAC设备进行配置?
目前想到了用ip6tables拦截dns解析,但不太懂iptable配置,没被拦截到:nslookup www.taobao.com [主路由ipv6]
拦截规则:
- ip6tables -A INPUT -p udp --dport 53 -m mac --mac-source 28:28:28:28:28:28 -j DROP
- ip6tables -A INPUT -p tcp --dport 53 -m mac --mac-source 28:28:28:28:28:28 -j DROP
复制代码 在防火墙自定义规则中放在首行和末尾都拦截不到
默认防火墙自定义规则:
- iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
- iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
- [ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
- [ -n "$(command -v ip6tables)" ] && ip6tables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
复制代码
请不要胡乱输入以及粘贴、复制等方式灌水
请尊重作者、并共同维护网站的正常阅读,否则账户将会被限制发帖、回帖,并且积分可能会被清零,站内短信以及阅读权限等都会受到影响,谢谢。
具体限制方式:https://www.right.com.cn/forum/thread-8307840-1-1.html
|