Heute habe ich festgestellt, dass mein Sohn im Teenageralter einen falschen WLAN-Router installiert hat. Es wird direkt an die Ethernet-Buchse angeschlossen, die ich in seinem Zimmer vergessen habe. Ich nehme an, er hat es getan, um meinen Internet-Zeitplan zu umgehen (und milde OpenDNS-Filterung). Anstatt nur den Router nach MAC-Adresse zu sperren und vielleicht das Ethernet-Kabel an der Box durchzuschneiden, möchte ich ihn erschrecken. Obwohl ich von seinen Fähigkeiten beeindruckt bin, bin ich enttäuscht, dass er meinem Netzwerk einen WLAN-Zugangspunkt ohne Passwort eröffnet hat. Ich habe eine Website auf einem Himbeer-Pi eingerichtet, auf der steht: "Sie wurden gehackt ...!" Ich möchte den gesamten Datenverkehr von diesem Router / Access Point an diese Raspberry Pi-Website weiterleiten.
Ich bin bisher in diesem Bestreben gescheitert. Hier ist mein Netzwerk:
DD-WRT v24-sp2, ausgeführt im Gateway-Modus (Ich habe den Router meines ISP im DMZ-Modus, der alles an diesen sendet).
$uname -a Linux DD-WRT-1 3.11.10 #98 Sat Mar 1 21:51:43 CET 2014 mips GNU/Linux
Der Rogue-Router ist ein D-Link DIR-655. FWICT dient Adressen in Form von 192.168.0. *. Er muss das Standard-Administratorkennwort geändert haben.
- Der D-Link ist über einen Hub mit dem DD-WRT-Router verbunden, der eine Verbindung zu allen Räumen in meinem Haus darstellt. Ich kann sie jedoch problemlos blockieren: Wir verwenden sie (normalerweise) nicht.
- Ich habe den Ethernet-Port, der diese Ethernet-Ports in den DD-WRT-Router auf einem eigenen VLAN (vlan3) bringt.
- Ich habe dem Rogue-Router sogar eine statische IP-Adresse zugewiesen, damit ich sie immer finden kann.
Ich habe verschiedene Befehlsvarianten ausprobiert iptables
, von denen ich mir sicher war, dass sie funktionieren würden. Hier ist das vielversprechendste, aber es hatte keine Wirkung:
iptables -t nat -A OUTPUT -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80
- Der D-Link-Router ist auf vlan3
- 10.0.0.65:80 ist die interne IP meines Raspberry Pi Webservers
Ich habe auch versucht, dies basierend auf der MAC-Adresse des D-Link-Routers zu tun, aber es hatte auch keine Auswirkung. Ich habe diese iptables-Befehle in einer ssh
Sitzung mit dem DD-WRT-Router ausgeführt.
Kann mir jemand helfen oder mich in die richtige Richtung lenken? Ich habe mehrere iptables-Dokumente und -Anleitungen online gelesen, aber nichts scheint zu funktionieren. Muss ich den Adressbereich 192.168.0.1/24 umleiten? Ich habe es versucht, aber keine Ergebnisse erzielt. Aber vielleicht habe ich es falsch gemacht:
iptables -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -j DNAT --to-destination 10.0.0.65
iptables -A PREROUTING -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80