Страница 1 из 1
Проброс на DNS сервер за NAT
Добавлено: 18 май 2022, 09:47
Stazot
Добрый день. Ситуация такая. Пограничное устройство Mikrotik, за ним имеется DNS сервер который должен отвечать на запросы извне. Создаю правило проброса, но запросы не доходят до сервера. правило
Код: Выделить всё
chain=dstnat action=netmap to-addresses=YYY.YYY.YYY.YYY to-ports=53 protocol=udp dst-address=XXX.XXX.XXX.XXX in-interface=eth0 dst-port=53 log=no log-prefix="DNS_REQ"
Прошу помощи, может чего подскажете.
Re: Проброс на DNS сервер за NAT
Добавлено: 18 май 2022, 11:29
xvo
Просто на всякий случай - адрес то белый?
И проверьте, что в firewall'е есть разрешающее правило либо на конкретно то же самое, либо общее на вообще все, что прошло dstnat.
И да, netmap тут ни к чему, action=dst-nat должно быть.
Re: Проброс на DNS сервер за NAT
Добавлено: 18 май 2022, 11:53
Stazot
Да белёхенький
По поводу второго не совсем понял. если вы про сервер имён то на нем трафик из локальной сети разрешён
На счет dst-nat и netmap, вроде функционал тот же, но у netmap алгоритмы получше. Проверю dst-nat спасибо
Re: Проброс на DNS сервер за NAT
Добавлено: 18 май 2022, 12:18
Stazot
Сделал через dst-nat тоже не помогло. если на самом шлюзе выставить сервер то всё нормально. и запросы приходят на сервер и ответы он отправляет. а вот проброс ни как.
Не Хочу рекурсивный сервер наружу выводить
Re: Проброс на DNS сервер за NAT
Добавлено: 18 май 2022, 18:18
-13-
А mikrotik на 53 порт снаружи отвечает?
добавить в firewall что то похожее
Код: Выделить всё
/ip firewall filter
add action=accept chain=input comment="WAN-Input DNS allow (udp)" dst-port=53 protocol=udp
add action=accept chain=input comment="WAN-Input DNS allow (tcp)" dst-port=53 protocol=tcp
Re: Проброс на DNS сервер за NAT
Добавлено: 19 май 2022, 19:23
xvo
Stazot писал(а): ↑18 май 2022, 11:53
По поводу второго не совсем понял. если вы про сервер имён то на нем трафик из локальной сети разрешён
Нет, я про firewall на самом микротике: мало просто добавить правило которое будет делать NAT, надо ещё разрешать этот трафик в firewall -> filter (ну или не запрещать).
Stazot писал(а): ↑18 май 2022, 11:53
На счет dst-nat и netmap, вроде функционал тот же, но у netmap алгоритмы получше.
Получше чем?
Они для разного сделаны, и для того, что вы делаете - dst-nat.