настройка IPTables

[fisher74]

а при чём тут tcpdump? Это утилита смотрит на пакеты, ползущие по интерфейсу. А netfilter - модуль ядра.
Чтобы понять порядок прохождения пакета по Вашим правилам, нужно смотреть, в каком порядке загружены эти самые правила в ядро.

Код: [Выделить]

sudo iptables -nvLЦепочка выбрана верно.

[riff6666]

нужно смотреть, в каком порядке загружены эти самые правила в ядро

у меня сначала применялась политика ACCEPT и как понимаю пакет успешно шел дальше из цепочки FORWARD, теперь я добавил перед ACCEPT политику DROP на пакеты которые идут с моего ip на порт 53 и все заработало. теперь выглядит все это дело так.

Код: [Выделить]

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     1482 87184 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3        0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3128
4        1    71 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
5        0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
6        0     0 ACCEPT     tcp  --  eth1   *       192.168.1.6          0.0.0.0/0            tcp dpt:80
7        0     0 ACCEPT     tcp  --  eth1   *       192.168.1.6          0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNSDROP    tcp  --  *      *       192.168.1.7          0.0.0.0/0            tcp dpt:53
2       10   629 DNSDROP    udp  --  *      *       192.168.1.7          0.0.0.0/0            udp dpt:53
3       35  2618 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
4       22 19377 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     1060  195K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0

Chain DNSDROP (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        9   558 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
начинаю потихоньку понимать как идут пакеты и что если сначала стоит политика ACCEPT то в этой же цепочке, политику DROP уже не применить к этому пакету.

[fisher74]

Действия ACCEPT и DROP - терминирующие, т.е. при их выполнении пакет покидает текущую цепочку.

[AnrDaemon]

Если вы хотите, чтобы клиент использвал ваш DNS сервер, дропать что-либо бессмысленно.
Сделайте редирект.

[fisher74]

Ну не то чтобы бесполезно...
Я как-то не задумывался над редиректом dns. А редиректить все DNS-запросы?

[obormot]

На шлюзе редирект нормально работает. (-t nat -A PREROUTING)

(Нажмите, чтобы показать/скрыть)

Причём, сейчас на на роутерах Кинетик он "сам включается" при использовании профилей yandexDNS для клиентов.

Код: [Выделить]

dig +short @1.1.1.1 forum.ubuntu.ru
213.108.249.3
213.108.248.249

[AnrDaemon]

Ну не то чтобы бесполезно...
Я как-то не задумывался над редиректом dns. А редиректить все DNS-запросы?

Я редирекчу всю локальную сеть на локальный DNS. А там fakeresolve как баннерорезка работает.