настройка DNS на Микротик

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ААААААААА Извиваются.....ААААААА :sh_ok:
Sertik писал(а): 05 фев 2019, 15:21 Своими словами уточняю (для меня тупого бестолкового доктора):

1. Если Микротик получает DNS от провайдера (путём "use peer DNS" через любой вид разрешенных в Микротик автоматических получений настроек типа DHCP-клиент или PPOE) то сам роутер DNS эти возьмёт и на нем всё резолвится будет. Так ? Хорошо. Но Вы не уточнили что галка "use peer DNS" должна быть включена - а то не возьмет :-)
Всё верно, кроме того, что можно руками задать роутеру ДНС-адрес и всё. САМ роутер (как клиент сети) уже будет его использовать.

Sertik писал(а): 05 фев 2019, 15:21 Это Вы имеете ввиду - если у этих клиентов DNS-сервером стоит адрес роутера видимо ? Если же у них стоит не адрес роутера, а Яндекс с Гуглом скажем - они обойдутся без него и сами возьмут правльно же ? Можно ведь компу в Винде поставить и адрес роутера и ещё адреса как я уже спрашивал/писал. Снова не уточнили, а еще педант ::yaz-yk:
Ну если я буду все варианты уточнять, мой ответ преобразуется в инструкцию или в книжку, а про это мы не договаривались.
И тем более у нас сетевые технологии и куча разных нюансов, всё описать - и не возможно и даже не буду.
Педант,но в меру....
А вот искать что я не досказал, плохо, надо другое видеть, как настроить, как оно работает, как будет работать,
и это всё должен настройщик знать, ведь он "художничает".
Да и указывать внешний ДНС - в обычной схеме плохо. Я уже говорил.
Sertik писал(а): 05 фев 2019, 15:21 3. Защита 53 порта таким образом, нужно только, когда включена галка "Allow remoute ..." Тут в Инете пишут кучу вариантов настройки правил для защиты роутера. Просто хотел чтобы Вы привели правильное правило - вот и уточнял. Может ещё кто "не сильно знающий" читает наши излияния и ему пригодиться точный ответ знающего человека вместо того чтобы полдня ерунду неправильную в Инете читать ? :ya_hoo_oo:
Ну я же не инстанция в последнем слове. Каждый сам должен делать защиту.
Включаем голову, читаем как работают правила фильтрации, и пишем, что если пришёл
пакет на порт 53 внешнего интерфейса = пакет убить и ТОЧКА
(просто же) ;;-)))
Sertik писал(а): 05 фев 2019, 15:21 Чтобы Микротик не "досили" нужно ведь защищать порт 53 так чтобы на него не было запросов с WAN-интерфейсов ? Правильно же ? Тогда возникают дальше вопросы - а если нам это нужно (для кого-то кого мы "знаем" то для них можно сделать исключение - так ведь ?
Защита нужна всегда, а для кого - не совсем понял. Если нужен ДНС - покупается отдельный IP, ставиться отдельный сервер и вперёд.
Нет сервера, не хочется возиться, куча есть сервисом по обслуживания зон (услуга делегирования).
Sertik писал(а): 05 фев 2019, 15:21 Что правильно запрещать "запросы" или "ответы" ?
Естественно запросы, на спутниковом канале любой байт пришедший считается и оплачивается,
зачем мне "нахалу"-хакеру принимать его запрос, и ещё ему отвечать? Спамеру тоже будем отвечать? :-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Ну я же не инстанция в последнем слове. Каждый сам должен делать защиту.
Включаем голову, читаем как работают правила фильтрации, и пишем, что если пришёл
пакет на порт 53 внешнего интерфейса = пакет убить и ТОЧКА
(просто же) ;;-)))
Вот поглядите, как "пудрят мозг" чайникам в Интернете только по этому вопросу (а Вы обо мне грустите, куды же бедному крестьянину податься, если такое читаешь, а сам мало что знаешь):Вот и эффект :zvez_ochki:

http://vedernikoff.ru/dns-v-mikrotik/

Мне кажется, что автор этой статьи сильно "накрутил" с запрещающими и разрешающими правилами ... Нельзя что ли было сразу дропануть все dst на 53 порт с внешнего интерфейса и всё ? Зачем это всё, что он написал ... Зачем "разрешал" запросы с локальной сети - ведь "всё что не запрещено - по умолчанию разрешено" ?

Ваше мнение ? И завяжем с темой, спасибо большое Вам.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 05 фев 2019, 17:20 Ваше мнение ? И завяжем с темой, спасибо большое Вам.
Я себя считаю ещё "зелёным" по знаниям в микротиках, поэтому как-то чужие статьи
оценивать и давать им оценку и значимость = преждевременно.
Да и статья, более старая, там упоминается прошивка 6.15, а после 6.38
стали и адрес-листы динамически подхватывать адресацию и много чего.

В любом случаи я не очень люблю в рамках логики маршрутизации оперировать
портами (ether2 и так далее).

Поэтому я делаю защиту от флуда ДНС в RAW таблице с записью атакующих в лог на 24 часа
А уже в таблице Filter Rules я проверяю, если уже есть атакующий из этого списка, то
сразу - Drop на всё.

Код: Выделить всё

/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Ничего себе :ze_le_ny: :hi_hi_hi: Скромность украшает :-): и всегда приводит к результатам (не сразу, как многие хотят в современном обществе прыжков и гримас, а в долгосрочной перспективе) ... Зато это айс во всех отношениях !

Спасибо ! Никогда такого способа ещё не видел ... про row как-нибудь потом спрошу, когда немного "подрасту" ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить