Есть Миротик (10.0.0.6) , он же и Шлюз и ДНС-сервер в сети.
Настроен Яндекс.ДНС, чтобы не открывались всякие сайты.
Задача:
Чтобы юзеры в локалке не могли пользоваться другими днс-серверами, типа 8.8.8.8 или 8.8.4.4 и т.п.
Т.Е. могли использовать только внутренний ДНС-сервер 10.0.0.6
Нашел вариант с редиректом: https://toster.ru/q/272522
метод работает, только вот в моем случае это выглядит так:
chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=Bridge dst-port=53 log=no log-prefix=""
Какие еще методы знаете?
Можно ли сделать так.. если пользователь поставить другой адрес днс, то не будет у него работать?
Запретить использовать другие DNS в сети
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
hitman писал(а):Можно ли сделать так.. если пользователь поставить другой адрес днс, то не будет у него работать?
Ну так описанный способ именно к этому и приводит. Запросы DNS проходят по 53 порту, и если редиректить все эти запросы на Микротик, то какой бы адрес юзер не прописывал, всё равно запрос завернется на роутер...
Я бы вообще прописал что-то типа такого, конкретно указав адрес DNS-сервера Микротика:
Код: Выделить всё
ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=192.168.0.1 to-ports=53
У меня дома подобным образом перенаправлены запросы со смартфона сына на SkyDNS. Пока не было срывов)))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 38
- Зарегистрирован: 29 апр 2017, 23:20
podarok66 писал(а):Ну так описанный способ именно к этому и приводит. Запросы DNS проходят по 53 порту, и если редиректить все эти запросы на Микротик, то какой бы адрес юзер не прописывал, всё равно запрос завернется на роутер...
Да, даже возможно описанный способ и лучший..
Все таки интересно, как запретить изменить свой днс, если хочет пользоваться инетом)
podarok66 писал(а):Я бы вообще прописал что-то типа такого, конкретно указав адрес DNS-сервера Микротика:Код: Выделить всё
ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=192.168.0.1 to-ports=53
а почему именно action=dst-nat, в чем будет отличие в данном случае от редирект "теоретически"?
podarok66 писал(а):У меня дома подобным образом перенаправлены запросы со смартфона сына на SkyDNS. Пока не было срывов)))
Кстати, думал тоже о SkyDNS, наверно лучше чем Яндекс.ДНС ?
Кажется он и запрещенные сайты от роскомнадзора и минюста блокирует..
-
- Модератор
- Сообщения: 3321
- Зарегистрирован: 01 окт 2012, 14:48
Запрет изменения DNS -это комплекс административных мер, по крайней мере на виндовс и линукс, и микротик тут ни причём. Микротик лишь позволяет обойти все эти административные проблемы, так как чаще всего пользователи в сети работают под «администратором».
Возможности SkyDns отличаются в зависимости от тарифа. Я видел и использую школьный тариф. Все работает хорошо. Возможностей достаточно. Но очень желателен фиксированный IP.
Возможности SkyDns отличаются в зависимости от тарифа. Я видел и использую школьный тариф. Все работает хорошо. Возможностей достаточно. Но очень желателен фиксированный IP.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Запрет на замену DNS - это к администрированию рабочих станций, при чем здесь Микротик? В Микротике вы лишь можете ограничить круг машин, которым вообще выдается разрешение на работу в локалке или в интернете. Остальное на них самих, режем права юзерам, ибо нечего им делать в сетевых настройках. А телефончики-планшетики в отдельный список и полный спектр ограничений. Ибо зачем на работе интернет на телефоне-планшете за счет предприятия?
Да никаких в этом частном случае в принципе, просто мне легче воспринимать именно такой вид. Я вообще стремлюсь к упрощению сейчас.
hitman писал(а):а почему именно action=dst-nat, в чем будет отличие в данном случае от редирект "теоретически"?
Да никаких в этом частном случае в принципе, просто мне легче воспринимать именно такой вид. Я вообще стремлюсь к упрощению сейчас.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Я у себя на работе сделал проще: Если вижу подключение локальной машине на внешний IP и порт 53 порт, то полностью блокирую любую активность этого компа, даже локальную.
Далее человек приходит ко мне и уже разбираюсь о причине блокировки.
Почему так жестоко скажете Вы? а ибо нефиг, да и вирусы очень любят менять DNS на машинах.
Далее человек приходит ко мне и уже разбираюсь о причине блокировки.
Почему так жестоко скажете Вы? а ибо нефиг, да и вирусы очень любят менять DNS на машинах.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 38
- Зарегистрирован: 29 апр 2017, 23:20
Dragon_Knight писал(а):Я у себя на работе сделал проще:
Если вижу подключение локальной машине на внешний IP и порт 53 порт,
то полностью блокирую любую активность этого компа, даже локальную.
Вот это уже интересно:)
Скажите, каким образом реализовали это дело)
Я бы наверно по мягче был), оставил бы активность локальную
Кстати, как раз смотрел вашу статью - MikroTik Proxy Server => error.html (viewtopic.php?t=4008)
Все очень красиво и четко сделано!
Спасибо!
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Элементарно.
Создаём правило, которое ловит пакеты, которые исходят из локальной сети на удалённый порт 53 (причём как tcp так и udp, т.е. два правила) и создаёт адрес лист с адресом источника.
Создаём правило которое дропает трафик, если адрес источника равен адрес листу от правила выше и размещаем это правило над вышеописанным правилом.
Вот и вся хитрость. Вся игра с уровнем блокировки реализуется во втором правиле. Можно заблокировать всё, а можно только сайты из вне.. Как угодно :)
Создаём правило, которое ловит пакеты, которые исходят из локальной сети на удалённый порт 53 (причём как tcp так и udp, т.е. два правила) и создаёт адрес лист с адресом источника.
Создаём правило которое дропает трафик, если адрес источника равен адрес листу от правила выше и размещаем это правило над вышеописанным правилом.
Вот и вся хитрость. Вся игра с уровнем блокировки реализуется во втором правиле. Можно заблокировать всё, а можно только сайты из вне.. Как угодно :)
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.