Запрет на смену DNS

Обсуждение ПО и его настройки
Ответить
mihail.shishkin
Сообщения: 3
Зарегистрирован: 03 дек 2021, 13:42

Доброго времени суток!

Настроил таким образом(во вложениях) жесткую привязку DNS к определенным компьютерам, каким образом настроить правило что бы оно не перенаправляла на общий DNS при смене руками в сетевом адаптере !?

Изображение

Изображение

Изображение

Изображение


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

запретить любой forward по 53 порту кроме того адреса который Вам нужен. Таким образом dns будет работать только то который Вы укажете, а если его сменят самостоятельно, то ничего не заработает.


mihail.shishkin
Сообщения: 3
Зарегистрирован: 03 дек 2021, 13:42

Inner писал(а): 06 дек 2021, 12:33 запретить любой forward по 53 порту кроме того адреса который Вам нужен. Таким образом dns будет работать только то который Вы укажете, а если его сменят самостоятельно, то ничего не заработает.
Можно пожалуйста тектовый файл настройки! Буду очень признателен!


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=DNSClient
Что-то типо этого. Под свою специфику сами подстройте. В адреслист можно засунуть ip внутренних клиентов. Или не указывать его вообще, но тогда правило будет работать на всех. Если прям совсем включить режим параноика, то укажите ещё и tcp протокол вторым правилом. Если число тех, кому запрещено менять dns больше, то можно попробывать

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=!DNSClient
но в адреслист указать уже тех, кому можно менять.


mihail.shishkin
Сообщения: 3
Зарегистрирован: 03 дек 2021, 13:42

Inner писал(а): 06 дек 2021, 12:44

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=DNSClient
Что-то типо этого. Под свою специфику сами подстройте. В адреслист можно засунуть ip внутренних клиентов. Или не указывать его вообще, но тогда правило будет работать на всех. Если прям совсем включить режим параноика, то укажите ещё и tcp протокол вторым правилом. Если число тех, кому запрещено менять dns больше, то можно попробывать

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=!DNSClient
но в адреслист указать уже тех, кому можно менять.
Огромное спасибо за помощь!!!


Аватара пользователя
hardrockbaby
Сообщения: 70
Зарегистрирован: 19 сен 2021, 16:11

Если на микроте активен сервер днс то можно перенаправлять запросы на сам роутер

Код: Выделить всё

/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=udp
add action=redirect chain=dstnat dst-port=53 protocol=tcp


Ответить