Firewall vs DNS

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Собственно продолжаю понемногу ковырять микротик. И вот возникла такая мысль:
У меня есть ТВ Самсунг, который живет своей жизнью в сети, что мне не очень нравиться. У меня есть список хостов, на которые мне не хочется его пускать. Раньше у меня было настроено таким образом, в StaticDNS были созданы соответствующие записи с перенаправлением на 127.0.0.1.
Но возникла мысль забанить все эти хосты через фаервол, сделал следующее:

Код: Выделить всё

add action=drop chain=forward comment=Drop_Samsung_OTN dst-address-list=Samsung_OTN log=yes log-prefix=Samsung_OTN src-address=192.168.1.13

В адрес лист соответственно внес все нужные хосты.

1. Правильно ли я все это сделал (это первое мое правило написанное собственноручно :-) )
2. В чем отличие закрытия доступа через ДНС и Фаервол?
3. При большом количестве записей в СтатикДНС резко уменьшается количество памяти, если вносить все это в адрес лист, как это отразится на памяти и быстродействии?
4. Раньше при блокировании через СтатикДНС ТВ при проверке на новую прошивку сразу писал о проблемах, теперь он думает пару минут, но все равно пишет о недоступности интернета (может нужно что еще дописать в правило?)

Заранее спасибо за ответы.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

1) Да, правило написано верно, если в адрес листе хосты к которым вы хотитет перекрыть доступ от телевизора.(логировать это все не обязательно)
2) Через днс нельзя что-то закрыть, просто это маленькое ухищрение, которое к тому же влияет на всех хосты внутри вашей сети без исключения, которые обращаются к вашему микротику с днс запросами, а в случае правила фаервола вы вольны выбирать кому и что можно, а кому нельзя.
3) Не могу ответить
4) Раньше ваш телевизор обращаясь по определенному имени получал ответ от днса, что это он же, т.е. пакеты не пропадали, а телевизор просто не находил нужный ресурс но хоть какой-то ответ получал, сейчас же, правило просто "дропает" пакеты, а поскольку пакеты просто уничтожаются, безответно, то телевизор повторяет попытки связаться с нужным адресом. Попробуйте заменить в правиле drop на reject, тогда возможно телевизор будет возвращаться ответ, что его запрос отклонен и он быстрее исчерпает свои попытки обращения, понимая что его запросы отклоняются, а не просто пропадают, ака пропадают.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

По количеству записей в адрес-листе. У меня уже несколько лет работает лист с почти 5k записями на RB-951. Ни проблем, ни тормозов не имеется.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

KARaS'b писал(а):2) Через днс нельзя что-то закрыть, просто это маленькое ухищрение, которое к тому же влияет на всех хосты внутри вашей сети без исключения, которые обращаются к вашему микротику с днс запросами, а в случае правила фаервола вы вольны выбирать кому и что можно, а кому нельзя.
4) Раньше ваш телевизор обращаясь по определенному имени получал ответ от днса, что это он же, т.е. пакеты не пропадали, а телевизор просто не находил нужный ресурс но хоть какой-то ответ получал, сейчас же, правило просто "дропает" пакеты, а поскольку пакеты просто уничтожаются, безответно, то телевизор повторяет попытки связаться с нужным адресом. Попробуйте заменить в правиле drop на reject, тогда возможно телевизор будет возвращаться ответ, что его запрос отклонен и он быстрее исчерпает свои попытки обращения, понимая что его запросы отклоняются, а не просто пропадают, ака пропадают.


2) Спасибо, как я понял результат мы получим одинаковый, но тонкую настройку можем сделать только в Фаерволе.

4) Я и думал попробовать reject, но дочитался что при сработке этого правила, удаленному хосту идет сообщение о сработке данного правила. Решил не расстраивать инжинеров Самсунга, и просто обрубать все на корню. Хотя глянул, там у reject есть много вариантов, может нужно какой спецефический поставить?


maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

podarok66 писал(а):По количеству записей в адрес-листе. У меня уже несколько лет работает лист с почти 5k записями на RB-951. Ни проблем, ни тормозов не имеется.

У меня в СтатикДНС порядка 21000 записей, и свободной памяти из 128 осталось 30-25. Вроде бы как тоже не тормозит и всего мне хватает, но если есть вариант облегчить задачу роутеру, изменив место приложения блокировки, то может стоит заморочиться, вдруг в дальнейшем мне память понадобиться, а она уже есть :)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

maxim_minton писал(а):Я и думал попробовать reject, но дочитался что при сработке этого правила, удаленному хосту идет сообщение о сработке данного правила. Решил не расстраивать инжинеров Самсунга...

Инженеры тут вовсе не причем, просто вы не правильно поняли то, что прочли. Если бы это правило стояло наружу и "из самсунга" обращались к вам, тогда да, вы бы их расстраивали т.к. ваш микротик бы им отвечал. В вашем же случае реджектом отвечать будете телевизору, что, теоретически, должно ускорить его попытки обращения к сервера самсунга и соответственно быстрее его угомонит.


maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

KARaS'b писал(а):
maxim_minton писал(а):Я и думал попробовать reject, но дочитался что при сработке этого правила, удаленному хосту идет сообщение о сработке данного правила. Решил не расстраивать инжинеров Самсунга...

Инженеры тут вовсе не причем, просто вы не правильно поняли то, что прочли. Если бы это правило стояло наружу и "из самсунга" обращались к вам, тогда да, вы бы их расстраивали т.к. ваш микротик бы им отвечал. В вашем же случае реджектом отвечать будете телевизору, что, теоретически, должно ускорить его попытки обращения к сервера самсунга и соответственно быстрее его угомонит.


Ага.. Там было написано, что при reject удаленный хост получит сообщение о заблокированном пакете, вот я и подумал, что удаленный хост, это получатель, а не отправитель. Тогда это все меняет, т.е. грубо говоря drop- это сродни пакет ушел и о нем ни слуху ни духу, а reject - это пакет дошел до определенного момента, его убили и сказали отсылавшему, что такое не пройдет. Т.е. при drop отсылавший не знает что с пакетом, ждет ответа, и может продолжать его слать тем же путем, при reject отсылавший тут же получает ответ о заблокированном пакете, и может либо прекратить попытки, либо слать его другим путем. Ок, спасибо.


Ответить