OpenWrt | 使用 nftables 规则禁用小明投影仪内置 DoT 服务的流量

上篇文章详细介绍了通过抓包分析的过程,发现小明投影仪因为内置了 DoT 服务,通过阿里云的 DNS 服务去解析域名,从而导致无法解析本地域名,而无法使用域名连接 SMB 服务,并介绍如何通过 OpenWrt 的防火墙配置解决此问题:https://blog.csdn.net/TeleostNaCl/article/details/156135648

解决方案是通过 OpenWrt 防火墙,将小明投影仪的 DoT 流量拦截即可 。

但是,在 OpenWrt 防火墙是在 forward 链上进行拦截的,如果设备上有其他影响防火墙的插件,会导致以上防火墙规则不生效。因此本文在前文的基础上,补充使用 nftables 规则禁用小明投影仪内置 DoT 服务的流量。

首先,我们可以使用以下命令验证 nftables 是否可以生效。

shell 复制代码
# 1. 创建 table
nft add table inet filter

# 2. 创建 chain
nft add chain inet filter reject_xiaoming_dot { type filter hook prerouting priority -300 \; }

# 3. 针对 TCP 853 的 DoT 拒绝(MAC 匹配)
nft add rule inet filter reject_xiaoming_dot ether saddr ${mac地址} tcp dport 853 reject with tcp reset

验证通过之后,我们可以在 /etc/nftables.d 编写自动应用的 nft 规则文件 10-reject-xiaoming-dot.nft,内容如下:

shell 复制代码
chain reject_xiaoming_dot {
    type filter hook prerouting priority -300; policy accept;

    ether saddr ${mac地址} tcp dport 853 reject with tcp reset
}

我们可以在 luci > 状态 > 防火墙 看到我们新增的一条规则,其在路由最早的 prerouting,以便及时的被拦截。

相关推荐
努力的小雨2 天前
我用 QClaw 做了个 Web3 陪学助手,专治 Java 程序员的“概念劝退”
经验分享·ai智能
SM1771521183814 天前
NSK紧凑型FA系列丝杠技术详解
经验分享·规格说明书
fofantasy14 天前
NSK SFT3210-2.5 滚珠丝杠技术详解
经验分享·规格说明书
BomanGe1014 天前
NSK USS1205N1D0321 紧凑型精密滚珠丝杠技术详解
经验分享·规格说明书
阿米亚波14 天前
【Windows】QEMU 启动 openEuler aarch64/arm64 架构系统 + 离线软件源
linux·windows·经验分享·笔记·架构·arm
AIHR数智引擎14 天前
KPI物理失效:AI原生组织的效能重构与技能度量
人工智能·经验分享·职场和发展·重构·ai-native·aihr
江华森14 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
BomanLj14 天前
NSK DFT1604-2.5 滚珠丝杠技术详解
经验分享·规格说明书
中屹指纹浏览器14 天前
2026指纹浏览器字体指纹、字体渲染偏差检测与全维度虚拟字体池搭建方案
经验分享·笔记
黑科技iOS上架14 天前
iOS应用周末提交什么情况算卡审
经验分享·ios