openwrt利用dnsmasq 屏蔽广告和跟踪

1. openwrt防火墙自定义规则中添加如下规则，强制接管所有DNS域名解析

   iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
   iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53

   DNS强制重定向（其实就是DNS劫持）。加了这条之后，所有客户端自己设置的DNS就没用了，只要是53端口的，就必须走路由器上的DNS。
   如果装adguardhome等DNS过滤广告还得必须注释掉这条。
   重定向（劫持）所有53端口的 udp请求包，到路由器网关的53端口。
   如果局域网内有自建的DNS可以使用下面命令把客户端DNS请求劫持过去
   192.168.1.10为局域网自建DNS地址

   iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to 192.168.1.10
   iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT --to 192.168.1.10

2. 配置Dnsmasq
   编辑/etc/resolv.conf将里面的nameserver地址改成127.0.0.1

   nameserver 127.0.0.1

   新增一个上游DNS地址配置
   vi /etc/resolv.dnsmasq.conf

   nameserver 119.29.29.29
   nameserver 8.8.8.8

   接下来我们修改dnsmasq主要配置文件
   vi /etc/dnsmasq.conf

   #DNS监听端口默认53
   port=53
   #不读取 resolv-file 来确定上游服务器
   no-resolv
   # 也不要检测 /etc/dnsmasq/resolv.conf 的变化
   no-poll
   #严格按照resolv-file文件中的顺序从上到下进行DNS解析,直到第一个解析成功为止。
   strict-order
   # 并发查询所有上游DNS服务器
   #all-servers
   # 指定上游DNS服务器配置文件路径
   #resolv-file=/etc/dnsmasq/resolv.conf
   #监听地址，10.139.133.25这个地址替换成ifconfig运行后eth0 里的inet 地址
   listen-address=10.139.133.25,127.0.0.1
   #自动导入这个目录下的配置文件
   conf-dir=/etc/dnsmasq.d
   #conf-dir=/etc/dnsmasq.d/*.conf
   #开启dnsmasq的日志记录
   log-queries
   #如果不想保存日志可以改为 /dev/null
   log-facility=/var/log/dnsmasq/dnsmasq.log
   # 如果反向查找的是私有地址例如192.168.X.X，仅从 hosts 文件查找，不再转发到上游服务器
   bogus-priv
   #resolv server 使用本机的dnscrypt-proxy
   server=127.0.0.1#5353
   # 设定域名解析缓存池大小
   cache-size=4096

   修改好后Dnsmasq就搭建好了

3. 广告屏蔽
   屏蔽广告来源https://github.com/privacy-protection-tools/anti-AD
   将adblock-for-dnsmasq.conf放到/etc/dnsmasq.d目录下
   重启Dnsmasq
   通过nslookup baidu.com测试

4. 其他说明
   address自定义域名解析的IP地址，在此已360.com这个域名为例。
   注意dnsmasq是支持泛域名解析的，以下配置就是一个典型的泛域名解析实例。将360Ban了

   address=/360.com/0.0.0.0

   address也可以过滤某些网站，比如如果不想让客户端解析youk.com这个域名的话，我们这个把该域名解析到一台不存在的服务器上或者解析到127.0.0.1这个地址。如下：

   address=/youk.com/127.0.0.1

   为了防止DNS污染，我们使用bogus-nxdomain定义DNS解析的服务器。

   bogus-nxdomain=211.98.70.226

   我们可以用server定于某个域名使用的上游DNS

   server=/4gml.com/114.114.114.114

   当然你也可以通过修改hosts来禁止域名啥的

dnsmasq日志分割案例

1. 首先需要开启dnsmasq的日志记录
   vi /etc/dnsmasq.conf

   log-queries
   log-facility=/var/log/dnsmasq/dnsmasq.log

2. 建立logrotate的配置文件
   vi /etc/logrotate.d/dnsmasq

   /var/log/dnsmasq/dnsmasq.log {
   notifempty
   weekly
   dateext
   rotate 58
   sharedscripts
   postrotate
   [ ! -f /var/run/dnsmasq.pid ] || kill -USR2 `cat /var/run/dnsmasq.pid`
   endscript
   }

   完整参数参考

• compress 通过gzip 压缩转储以后的日志
• nocompress 不需要压缩时，用这个参数
• copytruncate 用于还在打开中的日志文件，把当前日志备份并截断
• nocopytruncate 备份日志文件但是不截断
• create mode owner group 转储文件，使用指定的文件模式创建新的日志文件
• nocreate 不建立新的日志文件
• delaycompress 和 compress 一起使用时，转储的日志文件到下一次转储时才压缩nodelaycompress 覆盖 - delaycompress 选项，转储同时压缩。
• errors address 专储时的错误信息发送到指定的Email 地址
• ifempty 即使是空文件也转储，这个是 logrotate 的缺省选项。
• notifempty 如果是空文件的话，不转储
• mail address 把转储的日志文件发送到指定的E-mail 地址
• nomail 转储时不发送日志文件
• olddir directory 转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统
• noolddir 转储后的日志文件和当前日志文件放在同一个目录下
• prerotate/endscript 在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行
• postrotate/endscript 在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行
• daily 指定转储周期为每天
• weekly 指定转储周期为每周
• monthly 指定转储周期为每月
• rotate count 指定日志文件删除之前转储的次数，0 指没有备份，5 指保留5 个备份
• tabootext [+] list 让logrotate 不转储指定扩展名的文件，缺省的扩展名是：.rpm-orig, .rpmsave, v, 和 ~
• size size 当日志文件到达指定的大小时才转储，Size 可以指定 bytes (缺省)以及KB(sizek)或者MB (sizem)

3. 执行logrotate

   /usr/sbin/logrotate -vf /etc/logrotate.conf
   logrotate命令格式解释：
   logrotate [OPTION...] < configfile >
   -d, --debug ：debug模式，测试配置文件是否有错误。
   -f, --force ：强制转储文件。
   -m, --mail=command ：发送日志到指定邮箱。
   -s, --state=statefile ：使用指定的状态文件。
   -v, --verbose ：显示转储过程。