Senden Sie den gesamten ausgehenden HTTP-Datenverkehr von einem nicht autorisierten WLAN-Router an eine interne Streichwebsite


1

Heute habe ich festgestellt, dass mein Sohn im Teenageralter einen falschen WLAN-Router installiert hat. Es wird direkt an die Ethernet-Buchse angeschlossen, die ich in seinem Zimmer vergessen habe. Ich nehme an, er hat es getan, um meinen Internet-Zeitplan zu umgehen (und milde OpenDNS-Filterung). Anstatt nur den Router nach MAC-Adresse zu sperren und vielleicht das Ethernet-Kabel an der Box durchzuschneiden, möchte ich ihn erschrecken. Obwohl ich von seinen Fähigkeiten beeindruckt bin, bin ich enttäuscht, dass er meinem Netzwerk einen WLAN-Zugangspunkt ohne Passwort eröffnet hat. Ich habe eine Website auf einem Himbeer-Pi eingerichtet, auf der steht: "Sie wurden gehackt ...!" Ich möchte den gesamten Datenverkehr von diesem Router / Access Point an diese Raspberry Pi-Website weiterleiten.

Ich bin bisher in diesem Bestreben gescheitert. Hier ist mein Netzwerk:

  • DD-WRT v24-sp2, ausgeführt im Gateway-Modus (Ich habe den Router meines ISP im DMZ-Modus, der alles an diesen sendet).

    $uname -a Linux DD-WRT-1 3.11.10 #98 Sat Mar 1 21:51:43 CET 2014 mips GNU/Linux

  • Der Rogue-Router ist ein D-Link DIR-655. FWICT dient Adressen in Form von 192.168.0. *. Er muss das Standard-Administratorkennwort geändert haben.

  • Der D-Link ist über einen Hub mit dem DD-WRT-Router verbunden, der eine Verbindung zu allen Räumen in meinem Haus darstellt. Ich kann sie jedoch problemlos blockieren: Wir verwenden sie (normalerweise) nicht.
  • Ich habe den Ethernet-Port, der diese Ethernet-Ports in den DD-WRT-Router auf einem eigenen VLAN (vlan3) bringt.
  • Ich habe dem Rogue-Router sogar eine statische IP-Adresse zugewiesen, damit ich sie immer finden kann.

Ich habe verschiedene Befehlsvarianten ausprobiert iptables, von denen ich mir sicher war, dass sie funktionieren würden. Hier ist das vielversprechendste, aber es hatte keine Wirkung:

iptables -t nat -A OUTPUT -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80
  • Der D-Link-Router ist auf vlan3
  • 10.0.0.65:80 ist die interne IP meines Raspberry Pi Webservers

Ich habe auch versucht, dies basierend auf der MAC-Adresse des D-Link-Routers zu tun, aber es hatte auch keine Auswirkung. Ich habe diese iptables-Befehle in einer sshSitzung mit dem DD-WRT-Router ausgeführt.

Kann mir jemand helfen oder mich in die richtige Richtung lenken? Ich habe mehrere iptables-Dokumente und -Anleitungen online gelesen, aber nichts scheint zu funktionieren. Muss ich den Adressbereich 192.168.0.1/24 umleiten? Ich habe es versucht, aber keine Ergebnisse erzielt. Aber vielleicht habe ich es falsch gemacht:

iptables -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -j DNAT --to-destination 10.0.0.65

Hoppla, dieser erste Befehl für iptables sollte iptables -A PREROUTING -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80
lauten

Der zentrale Hub Ihres Hauses stellt eine Verbindung zu einem LAN-Port Ihrer DD-WRT-Box her, und an der DD-WRT-Box ist dieser Port als nicht nummerierte (nicht getaggte) Schnittstelle konfiguriert, die intern vlan3 zugeordnet ist. Ich möchte sicherstellen, dass Sie nicht versehentlich erwarten, dass die D-Link-Box ihre Frames mit der VLAN-ID 3 als VLAN-Frames kennzeichnet. DD-WRT muss alle nicht getaggten eingehenden Frames an diesem Ethernet-Port als vlan3-Frames betrachten.
Spiff

Ich vermute, wenn er klug genug ist, um herauszufinden, wie man einen WLAN-Router liefert, ohne dass Sie es wissen, richten Sie ihn ein und lassen Sie ihn so lange senden, ohne dass Sie es merken, wird er wahrscheinlich eine Warnung erkennen, die besagt, dass Sie gehackt wurden auch Schwindel. Nur meine 2 Pennorth. Internetfilter fördern nur das Katz-und-Maus-Spiel.
Möwe

Spiff - du hast es richtig gemacht. Ich kann es aber nicht richtig haben :-). Folgendes habe ich getan: In der dd-wrt-Konfiguration: Setup -> VLANs -> Port 1 (ich nehme an, Ethernet-Buchse Nr. 1 am Router) auf Nr. 3 setzen. Ich habe das getan, um es einfach zu machen, was er nach der Schule im Netzwerk gemacht hat. Es ist wahrscheinlich ein irrelevantes Detail.
Grubbyhacker

Möwe - danke für dein 2c. Ja ich weiß. Die Seite, die ich eingerichtet habe, ist viel cooler. Er wird ein bisschen ausflippen.
Grubbyhacker
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.