Estou tentando controlar qual endereço IP eu uso para o DNS com base na cadeia de domínio. Estou no Fedora com o firewalld e tentei o comando:
firewall-cmd --direct --add-rule ipv4 filter PREROUTING 0 -t nat -p udp \
--dport 53 -m string --algo bm --hex-string '|06|<example>|03|<com>|' \
-j DNAT --to-destination a.b.c.d
Tenho certeza de que usei o valor correto para a string hexadecimal e o IP de destino. As regras aparecem quando eu listo a tabela nat, mas o tcpdump não mostra nenhum tráfego para o IP de destino. A nat é a tabela correta para isso ou devo usar filtro? Ou possivelmente algo mais?
Além disso, não tenho idéia se há uma maneira de limpar as regras que não foram sinalizadas com --permanent. Eu provavelmente poderia apenas reiniciar, mas isso não parece necessário.