Запретить использовать другие DNS в сети

Обсуждение ПО и его настройки
Ответить
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Есть Миротик (10.0.0.6) , он же и Шлюз и ДНС-сервер в сети.
Настроен Яндекс.ДНС, чтобы не открывались всякие сайты.
Задача:
Чтобы юзеры в локалке не могли пользоваться другими днс-серверами, типа 8.8.8.8 или 8.8.4.4 и т.п.
Т.Е. могли использовать только внутренний ДНС-сервер 10.0.0.6

Нашел вариант с редиректом: https://toster.ru/q/272522
метод работает, только вот в моем случае это выглядит так:
chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=Bridge dst-port=53 log=no log-prefix=""

Какие еще методы знаете?
Можно ли сделать так.. если пользователь поставить другой адрес днс, то не будет у него работать?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

hitman писал(а):Можно ли сделать так.. если пользователь поставить другой адрес днс, то не будет у него работать?

Ну так описанный способ именно к этому и приводит. Запросы DNS проходят по 53 порту, и если редиректить все эти запросы на Микротик, то какой бы адрес юзер не прописывал, всё равно запрос завернется на роутер...
Я бы вообще прописал что-то типа такого, конкретно указав адрес DNS-сервера Микротика:

Код: Выделить всё

ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=192.168.0.1 to-ports=53

У меня дома подобным образом перенаправлены запросы со смартфона сына на SkyDNS. Пока не было срывов)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

podarok66 писал(а):Ну так описанный способ именно к этому и приводит. Запросы DNS проходят по 53 порту, и если редиректить все эти запросы на Микротик, то какой бы адрес юзер не прописывал, всё равно запрос завернется на роутер...

Да, даже возможно описанный способ и лучший..
Все таки интересно, как запретить изменить свой днс, если хочет пользоваться инетом)
podarok66 писал(а):Я бы вообще прописал что-то типа такого, конкретно указав адрес DNS-сервера Микротика:

Код: Выделить всё

ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=192.168.0.1 to-ports=53

а почему именно action=dst-nat, в чем будет отличие в данном случае от редирект "теоретически"?
podarok66 писал(а):У меня дома подобным образом перенаправлены запросы со смартфона сына на SkyDNS. Пока не было срывов)))

Кстати, думал тоже о SkyDNS, наверно лучше чем Яндекс.ДНС ?
Кажется он и запрещенные сайты от роскомнадзора и минюста блокирует..


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Запрет изменения DNS -это комплекс административных мер, по крайней мере на виндовс и линукс, и микротик тут ни причём. Микротик лишь позволяет обойти все эти административные проблемы, так как чаще всего пользователи в сети работают под «администратором».

Возможности SkyDns отличаются в зависимости от тарифа. Я видел и использую школьный тариф. Все работает хорошо. Возможностей достаточно. Но очень желателен фиксированный IP.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Запрет на замену DNS - это к администрированию рабочих станций, при чем здесь Микротик? В Микротике вы лишь можете ограничить круг машин, которым вообще выдается разрешение на работу в локалке или в интернете. Остальное на них самих, режем права юзерам, ибо нечего им делать в сетевых настройках. А телефончики-планшетики в отдельный список и полный спектр ограничений. Ибо зачем на работе интернет на телефоне-планшете за счет предприятия?
hitman писал(а):а почему именно action=dst-nat, в чем будет отличие в данном случае от редирект "теоретически"?

Да никаких в этом частном случае в принципе, просто мне легче воспринимать именно такой вид. Я вообще стремлюсь к упрощению сейчас.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я у себя на работе сделал проще: Если вижу подключение локальной машине на внешний IP и порт 53 порт, то полностью блокирую любую активность этого компа, даже локальную.
Далее человек приходит ко мне и уже разбираюсь о причине блокировки.

Почему так жестоко скажете Вы? а ибо нефиг, да и вирусы очень любят менять DNS на машинах.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Dragon_Knight писал(а):Я у себя на работе сделал проще:
Если вижу подключение локальной машине на внешний IP и порт 53 порт,
то полностью блокирую любую активность этого компа, даже локальную.

Вот это уже интересно:)

Скажите, каким образом реализовали это дело)
Я бы наверно по мягче был), оставил бы активность локальную

Кстати, как раз смотрел вашу статью - MikroTik Proxy Server => error.html (viewtopic.php?t=4008)
Все очень красиво и четко сделано! :co_ol:
Спасибо!


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Элементарно.
Создаём правило, которое ловит пакеты, которые исходят из локальной сети на удалённый порт 53 (причём как tcp так и udp, т.е. два правила) и создаёт адрес лист с адресом источника.
Создаём правило которое дропает трафик, если адрес источника равен адрес листу от правила выше и размещаем это правило над вышеописанным правилом.
Вот и вся хитрость. Вся игра с уровнем блокировки реализуется во втором правиле. Можно заблокировать всё, а можно только сайты из вне.. Как угодно :)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить