Russian Users MikroTik | Форум пользователей MikroTik

вот эти правила

add action=drop chain=input comment="Drop DNS from !ether6-LAN" dst-port=53 in-interface=!ether6-LAN protocol=udp
add chain=input comment="Allow DNS request" in-interface=ether10-INET protocol=udp src-port=53

Я не представляю, какая схема сети реализована у вас, но общее правило, от которого строятся частные выглядит так:

где ether1-gateway смотрит в мир...

И я опять повторю, TCP порт тоже нужно блокировать. По спецификации DNS сервер должен отвечать как по UDP, так и по TCP.

в общем понятно, буду использовать nmap, на стороннем РС для проверки доступности портов
Всем спасибо, скоро будут новые вопросы

Pcrepair писал(а):в общем понятно, буду использовать nmap

Ну разве что в качестве ориентира... Надо бы посмотреть, чем еще можно поковырять, это я первое, что под руку попалось, запустил. Я ведь лентяй, и если есть результат, то обычно дальше не иду.

Dragon_Knight писал(а):И я опять повторю, TCP порт тоже нужно блокировать. По спецификации DNS сервер должен отвечать как по UDP, так и по TCP.

Да читал я, читал... И правоту твою, дружище не оспариваю. Пусть будет два правила. Я второе у себя выкинул (за пару месяцев счетчик на нуле о чем-то говорит)

podarok66, значит провайдер режит это.
У меня у UDP на месяц накопилось под 1кк, по TCP под 700к.

и всетаки пока не прощаемся. контора таки начала работу и можно со стороны проверить работоспособность правил с nslookup как тут советовали, итого :

=================== вариант правил1 ==========================
add action=drop chain=input comment="Drop DNS from !ether6-LAN" dst-port=53 in-interface=!ether6-LAN protocol=udp
add chain=input comment="Allow DNS request" in-interface=ether10-L2TP protocol=udp src-port=53

C:\Documents and Settings\admin>nslookup ya.ru 2.95.88.238
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 2.95.88.238: Timed out
Server: UnKnown
Address: 2.95.88.238

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
============================================== правило работает?

================= вариаент правил 2 ==========================
add chain=input action=drop in-interface=ether10-L2TP protocol=udp dst-port=53

C:\Documents and Settings\admin>nslookup ya.ru 2.95.88.238
*** Can't find server name for address 2.95.88.238: Non-existent domain
Server: UnKnown
Address: 2.95.88.238

Non-authoritative answer:
Name: ya.ru
Addresses: 213.180.193.3, 213.180.204.3, 93.158.134.3
================================================ не работает правило!

что же получается? правило которое мне тут все рекомендовали(да и не только тут, повсюду) не работает? ЧЯДН?

Pcrepair писал(а):что же получается? правило которое мне тут все рекомендовали(да и не только тут, повсюду) не работает? ЧЯДН?

Вроде делаете всё так, и Ваше правило я прочитал так, что всё что приходить кромер 6 порта-локалки, не пускать на ДНС,
с одной стороны да, но всё же правила какое то такое, если то, то это. Короче НЕ ЯВНОЕ!

Я делаю защиту явно, я знаю мои WAN интерфейсы (кстати, вы описываете порт 10, но что рррое , что L2TP это динамические
интерфейсы, и адресация и связь и атаки по ним идут, поэтому в правилах надо от них (пакеты с них будут идти, а не с порта 10 и так далее).
Поэтому я делаю так:
а) идём в Interface, закладка interface list, там создаём сначала список (list1-WAN) и в этот список включаем интерфейсы которые для
нас будут внешними, скажем и рррое и l2tp и пусть будут и порт куда шнур от провайдера приходит, мало ли что (то есть в Вашем примере порт10)
и вот мы создали список.
б) идём в файрволл (я тоже прописываю обычно всегда по два правила, для ТСП и УДП,) и прописываем, что если идёт входящий пакет, на такой то порт,
и он приходит к нам (подставляем в поле In Interface List наш лист (выбираем его) и уже на вкладке Action делаем ему DROP
Повторяем для УДП и смотрим на счётчик. Можно логирование поставить.