Russian Users MikroTik | Форум пользователей MikroTik

Имеется роутер MikroTik hEX Lite.Вопрос по 53-порту- в сети много статей о том, как его закрыть из-за так называемого "DNS флуда" Но, насколько я понимаю, в этом случае DNS запросы из локальной сети станут невозможны.При этом DNS флуд действительно существует- до 10 Mbps исходящего трафика.Борюсь с этим путем закрытия исходящих соединений с 53-го порта по tcp и udp.Потом, мой провайдер имеет DNS сервера со статическими ip и я могу в сетевых настройках компьютеров в локальной сети прописать их и обращаться к ним напрямую, но, насколько я понимаю, роутер имеет свой DNS кэш и использование его ускоряет разрешение DNS имен. Вопрос- как правильно организовать доступ к DNS?

Нет никаких трудностей по ваше вопросу.

Вы можете использовать DNS микротика или провайдера. Делайте так, как вам удобно.
Правильная блокировка ВХОДЯЩИХ запросов на 53 порту гарантирует блокировку внешнего трафика и оставляет работоспособным DNS сервер микротика.

А что будет если я закрою 53-й порт на ether1?

sergium писал(а):А что будет если я закрою 53-й порт на ether1?

Вы закроете 53 порт на озвученном интерфейсе. А надо на смотрящем с мир...

Извиняюсь, напишу поподробнее, интерфейс ether1 используется как WAN.Почему то когда на нем я закрываю 53 порт, DNS запросы через роутер не проходят.
P.S. Закрыл 53-й порт на pppoe-out1, результат-DNS запросы не проходят.

sergium писал(а):Извиняюсь, напишу поподробнее...

Подробнее - это конфиг выложить. Так гадать не будут.

Тогда обьясните пожалуйста для чего маршрутизатор открывает 53-й порт на внешнем интерфейсе, перелопатил весь интернет - та
К и не нашел ответа...

sergium писал(а):Тогда обьясните пожалуйста для чего маршрутизатор открывает 53-й порт на внешнем интерфейсе, перелопатил весь интернет - та
К и не нашел ответа...

Чистый микротик, без дефолтного конфига, это просто маршрутизатор, в котором только то, что вы настроили, у которого нет внешнего порта, соответственно он не блокирует ничего, если вы этого не с казали ему сделать. Внешний порт есть только в вашей голове, руководствуясь этим представлением вы блокируете определенные момент в определенных местах. Микротик это не домашний длинк\тплин и иже с ними, вы можете сделать ван портом любой порт или даже несколько, но все эти представления о "внешних портах" только в вашей голове и вы удостоены чести сконфигурировать устройство так, как вам это нужно.

sergium писал(а): Вопрос- как правильно организовать доступ к DNS?

Давайте различать ДНС-клиент и ДНС-сервер.
И также понимать, что на интерфейсе (суб-интерфейсе, типа как рррое) - это внешний канал.
А локальная сеть (локалка) - она может быть или портом ether2 или даже bridge1

1) При включении ДНС в микротике, микротик слушает и обрабатывает запросы, он не знает, что своё, а что внешнее. Задача тупая - включили ДНС - работает.
2) Ваша задача помочь и закрыть запросы с внешнего интерфейса на Ваш ДНС-сервер микротика (то есть мы закрываем входящий открытый порт 53 на внешнем интерфейсе в вашем микротике) и вот тут,
явно по-простому ещё раз оговорю, мы закрываем ДНС-сервер микротика, микротик как ДНС-клиент может сам спокойно обращаться к провайдерским ДНСам и работать, кешировать запросы,и т.д., исходящие запросы мы не трогаем.
Вот это и есть разница.
3) Поэтому создайте правила в файрволле блокирующие пакеты на 53 порт (процентов 80 атак по протоколу - UDP) на внешнем интерфейсе. Блокировать локальную сеть и запросы НЕ надо.

(не большая аллегория (не идеальная, но всё же): "...У Вас в доме железная дверь, Вы никого не пускаете, но сами когда хотите - её открываете и выходите, так и тут, к Вам никто не может попасть, а Вы можете и куда и когда захочется." )

Спасибо, вот этого я как раз и не мог понять.Получается, что любая запущенная служба открывает порты по всем интерфейсам вне зависимости - внешние они или внутренние.Тогда в случае c DNS запросами - клиент в локальной сети посылает запрос на DNS-сервер маршрутизатора, тот обрабатывает запрос и перенаправляет его на DNS-клиент, который в свою очередь устанавливает соединение с DNS-сервером провайдера и 53-й порт должен быть открыт только на локальном интерфейсе.