H3C MSR56-60 有dns劫持功能吗?
问题描述:
H3C MSR56-60 有dns劫持功能吗,就是比如,电脑主机配置的114或8.8.8.8的dns到了路由器上可不可以,协议为udp,端口为53的请求将原为114或8的dns 都映射为一个固定的dns地址?具体怎么实现麻烦请教下
组网及组网描述:
您好,没有,不支持的
6小时前回答那dns代理功能能不能实现这个呢就是dns proxy
谢谢大佬
考虑一下重定向试试
1.2.5 报文重定向配置
报文重定向就是用户改变转发的报文的输出方向,用户可以将报文重定向到如下目的地之一:CPU、以太网端口、RPR逻辑端口、聚合组、Smart Link组、IP地址和单板。
对普通接口板,请在以太网端口视图下进行下列配置。
表1-11 重定向配置
操作
命令
对匹配三层流规则的报文进行重定向配置
traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule [ system-index index ] ] { cpu | interface interface-type interface-number destiNATion-vlan [ l2-vpn | l3-vpn ] | link-aggregation group groupid destination-vlan | smart-link group groupid destination-vlan | next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } ] | slot slot-id { vlanid | designated-vlan vlanid } [ join-vlan ] }
取消对匹配三层流规则的报文进行重定向配置
undo traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule ]
对同时匹配二层和三层流规则的报文进行重定向配置
traffic-redirect inbound ip-group { acl-number | acl-name } rule rule link-group { acl-number| acl-name } [ rule rule ] { cpu | interface interface-type interface-number destination-vlan [ l2-vpn | l3-vpn ] | link-aggregation group groupid destination-vlan | smart-link group groupid destination-vlan | next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } ] | slot slot-id designated-vlan vlanid [ join-vlan ] }
或traffic-redirect inbound ip-group { acl-number | acl-name } link-group { acl-number | acl-name } rule rule { cpu | interface interface-type interface-number destination-vlan [ l2-vpn | l3-vpn ] | link-aggregation group groupid destination-vlan | smart-link group groupid destination-vlan | next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } ] | slot slot-id designated-vlan vlanid [ join-vlan ] }
取消对同时匹配二层和三层流规则的报文进行重定向配置
undo traffic-redirect inbound ip-group { acl-number | acl-name } { rule rule link-group { acl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } rule rule }
或undo traffic-redirect inbound link-group { acl-number | acl-name } { rule rule ip-group { acl-number | acl-name } | ip-group { acl-number | acl-name } rule rule }
对匹配二层流规则的报文进行重定向配置
traffic-redirect inbound link-group { acl-number | acl-name } [ rule rule [ system-index index] ] { cpu | interface interface-type interface-number destination-vlan [ l2-vpn | l3-vpn ] | link-aggregation group groupid destination-vlan | smart-link group groupid destination-vlan | next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } ] | slot slot-id designated-vlan vlanid [ join-vlan ] }
取消对匹配二层流规则的报文进行重定向配置
undo traffic-redirect inbound link-group { acl-number | acl-name } [ rule rule ]
注意:
在配置重定向到NAT板并指定VLAN的情况下,端口不允许退出指定VLAN(执行undo、删除混插操作等)。如果有意外情况导致端口退出VLAN,建议用户删除重定向配置,重新将端口加入到VLAN,再配置重定向到NAT板并指定VLAN。
对业务处理板,请在VLAN视图下进行下列配置。
表1-12 重定向配置
操作
命令
对匹配三层流规则的报文进行重定向配置
traffic-redirect inbound ip-group { acl-number | acl-name } { { rule rule { cpu [ slot slot-id ] | next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } ] | system-index index { cpu [ slot slot-id ] | next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } } } | { cpu [ slot slot-id ] } | { next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward | drop } ] [ slot slot-id ] } }
取消对匹配三层流规则的报文进行重定向配置
undo traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule ] [ slot slot-id ]
system-index index参数是访问控制列表规则的系统索引值。系统下发一条规则后,会自动给该规则分配一个全局唯一的索引值,用于系统运行时对该规则进行检索。用户在使用本命令下发一条规则时,也可以为该规则指定一个系统索引值,但该值在系统运行过程中可能改变。一般情况下,建议用户不要手动指定该参数。
& 说明:
l 重定向配置仅对访问列表中动作为permit的规则有效。
l 当报文被重定向到CPU后,将不再正常转发。
l 用户可以使用重定向命令中的next-hop参数实现策略路由。
l 在业务处理板上配置traffic-redirect命令前必须先在端口视图下配置报文重定向,将三层报文定向到业务处理板和指定VLAN。
l 不允许将组播报文重定向到业务处理板。
关于命令的详细描述请参见本章对应的命令手册。
单位主要是想用一个安全厂商的dns用来规避一些访问黄赌毒网站的链接,但是单位人比较多又不方便挨个去改,所以就想着在出口路由器上实现一个dns代理或劫持
如果是dhcp 方式还好办,直接在dhcp server 中把dns改了,如果手动的话还真不好办了
要是用dns proxy 这个呢
那也没有用啊,因为你终端的DNS 没有变啊,dns 查询的时候数据包封装的目的IP还是 8.8.8.8 这些
DNS-proxy enable DNS server
代理的情况下 是你的终端dns 得配置你路由器的IP ,才好用
好的,感谢大佬
你正在内容来源:知了社区,H3C MSR56-60 有dns劫持功能吗?
