Envia todo o tráfego HTTP de saída de um roteador Wi-Fi não autorizado para um site de brincadeiras interno

1

Hoje descobri que meu filho adolescente instalou um roteador Wi-Fi desonesto. Ele está conectado diretamente ao conector ethernet que eu esqueci que estava em seu quarto. Eu suponho que ele fez isso para ignorar o meu horário de internet (e filtragem moderada de OpenDNS). Em vez de apenas banir o roteador pelo endereço MAC e talvez cortar o cabo ethernet na caixa, gostaria de assustá-lo. Enquanto estou impressionado com sua skillz, estou desapontado por ele ter aberto um AP Wi-Fi sem senha na minha rede. Eu tenho um web site configurado em um Raspberry Pi que diz "você foi hackeado ...!" Desejo encaminhar todo o tráfego proveniente deste roteador / ponto de acesso para o site do Raspberry Pi.

Eu até agora falhei neste esforço. Aqui está minha rede:

  • DD-WRT v24-sp2, em execução no modo Gateway (eu tenho o roteador do meu ISP no modo DMZ enviando tudo para este).

    $uname -a Linux DD-WRT-1 3.11.10 #98 Sat Mar 1 21:51:43 CET 2014 mips GNU/Linux

  • O roteador não autorizado é um D-Link DIR-655. FWICT serve endereços na forma de 192.168.0. *. Ele deve ter alterado a senha de administrador padrão.

  • O D-Link está conectado ao roteador DD-WRT através de um hub que é uma junção de todos os cômodos da minha casa, mas estou bem bloqueando todos eles: nós não usamos (normalmente, lol) .
  • Eu tenho a porta ethernet que traz essas portas ethernet para o roteador DD-WRT em sua própria VLAN (vlan3).
  • Eu até dei ao roteador não autorizado um IP estático para que eu pudesse sempre encontrá-lo.

Eu tentei várias variações de comandos iptables , todos os quais eu tinha certeza que funcionariam. Aqui está o mais promissor, mas não teve efeito:

iptables -t nat -A OUTPUT -i vlan3 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.65:80
  • O roteador D-Link está na vlan3
  • 10.0.0.65:80 é o IP interno do meu servidor Raspberry Pi

Eu também tentei fazer isso com base no endereço MAC do roteador D-Link, mas também não teve efeito. Eu tenho executado esses comandos iptables em uma sessão ssh para o roteador DD-WRT.

Alguém pode me ajudar ou me direcionar na direção certa? Eu li vários docs iptables e tutoriais online, mas nada parece funcionar. Preciso redirecionar o intervalo de endereços 192.168.0.1/24? Eu tentei isso, mas não obtive resultados. Mas talvez eu tenha feito errado:

iptables -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -j DNAT --to-destination 10.0.0.65
    
por grubbyhacker 23.01.2016 / 03:52

0 respostas