打开网易新闻 查看精彩图片

你刚在路由器里配好Pi-hole,看着广告拦截统计数字蹭蹭涨,觉得自己终于掌控了家里的数据流向。然后发现某台设备的数据包正偷偷流向8.8.8.8——你的DNS规则被当成了空气。

这是家用防火墙的普遍尴尬:你以为设定了DNS服务器就万事大吉,但越来越多的智能硬件把公共DNS地址写死在固件里。电视、音箱、甚至扫地机,出厂就认准了Google或Cloudflare的解析地址,根本不理会路由器下发的配置。

作者用的是OPNsense,解决方式倒不复杂——在防火墙加一条NAT规则,把53端口的出站流量全部劫持到本地Unbound。「All I needed to do was enable Unbound, and OPNsense really did the rest」,他在博客里写道。DNS查询被强制重定向,设备以为自己在联系谷歌,实际上是在跟你的本地服务器对话。

这招叫Destination NAT,对懂行的人来说五分钟配完。但问题在于,大多数人发现漏洞之前,已经裸奔了很久。更麻烦的是DoH(DNS over HTTPS),它把查询藏在HTTPS流量里,传统端口拦截彻底失效——那是下一道要守的关。

作者最后检查日志时发现,拦截量比他预期的高出近四成。那些"不听话"的设备,原来一直在后台这么忙。