Страница 1 из 1
Запретить использовать другие DNS в сети
Добавлено: 08 май 2017, 16:20
hitman
Есть Миротик (10.0.0.6) , он же и Шлюз и ДНС-сервер в сети.
Настроен Яндекс.ДНС, чтобы не открывались всякие сайты.
Задача:
Чтобы юзеры в локалке не могли пользоваться другими днс-серверами, типа 8.8.8.8 или 8.8.4.4 и т.п.
Т.Е. могли использовать только внутренний ДНС-сервер 10.0.0.6
Нашел вариант с редиректом: https://toster.ru/q/272522
метод работает, только вот в моем случае это выглядит так:
chain=dstnat action=redirect to-ports=53 protocol=udp in-interface=Bridge dst-port=53 log=no log-prefix=""
Какие еще методы знаете?
Можно ли сделать так.. если пользователь поставить другой адрес днс, то не будет у него работать?
Re: Запретить использовать другие DNS в сети
Добавлено: 08 май 2017, 20:57
podarok66
hitman писал(а):Можно ли сделать так.. если пользователь поставить другой адрес днс, то не будет у него работать?
Ну так описанный способ именно к этому и приводит. Запросы DNS проходят по 53 порту, и если редиректить все эти запросы на Микротик, то какой бы адрес юзер не прописывал, всё равно запрос завернется на роутер...
Я бы вообще прописал что-то типа такого, конкретно указав адрес DNS-сервера Микротика:
Код: Выделить всё
ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=192.168.0.1 to-ports=53
У меня дома подобным образом перенаправлены запросы со смартфона сына на SkyDNS. Пока не было срывов)))
Re: Запретить использовать другие DNS в сети
Добавлено: 08 май 2017, 22:49
hitman
podarok66 писал(а):Ну так описанный способ именно к этому и приводит. Запросы DNS проходят по 53 порту, и если редиректить все эти запросы на Микротик, то какой бы адрес юзер не прописывал, всё равно запрос завернется на роутер...
Да, даже возможно описанный способ и лучший..
Все таки интересно, как запретить изменить свой днс, если хочет пользоваться инетом)
podarok66 писал(а):Я бы вообще прописал что-то типа такого, конкретно указав адрес DNS-сервера Микротика:
Код: Выделить всё
ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=192.168.0.1 to-ports=53
а почему именно
action=dst-nat, в чем будет отличие в данном случае от редирект "теоретически"?
podarok66 писал(а):У меня дома подобным образом перенаправлены запросы со смартфона сына на SkyDNS. Пока не было срывов)))
Кстати, думал тоже о SkyDNS, наверно лучше чем Яндекс.ДНС ?
Кажется он и запрещенные сайты от роскомнадзора и минюста блокирует..
Re: Запретить использовать другие DNS в сети
Добавлено: 09 май 2017, 09:58
gmx
Запрет изменения DNS -это комплекс административных мер, по крайней мере на виндовс и линукс, и микротик тут ни причём. Микротик лишь позволяет обойти все эти административные проблемы, так как чаще всего пользователи в сети работают под «администратором».
Возможности SkyDns отличаются в зависимости от тарифа. Я видел и использую школьный тариф. Все работает хорошо. Возможностей достаточно. Но очень желателен фиксированный IP.
Re: Запретить использовать другие DNS в сети
Добавлено: 09 май 2017, 17:51
podarok66
Запрет на замену DNS - это к администрированию рабочих станций, при чем здесь Микротик? В Микротике вы лишь можете ограничить круг машин, которым вообще выдается разрешение на работу в локалке или в интернете. Остальное на них самих, режем права юзерам, ибо нечего им делать в сетевых настройках. А телефончики-планшетики в отдельный список и полный спектр ограничений. Ибо зачем на работе интернет на телефоне-планшете за счет предприятия?
hitman писал(а):а почему именно action=dst-nat, в чем будет отличие в данном случае от редирект "теоретически"?
Да никаких в этом частном случае в принципе, просто мне легче воспринимать именно такой вид. Я вообще стремлюсь к упрощению сейчас.
Re: Запретить использовать другие DNS в сети
Добавлено: 09 май 2017, 18:28
Dragon_Knight
Я у себя на работе сделал проще: Если вижу подключение локальной машине на внешний IP и порт 53 порт, то полностью блокирую любую активность этого компа, даже локальную.
Далее человек приходит ко мне и уже разбираюсь о причине блокировки.
Почему так жестоко скажете Вы? а ибо нефиг, да и вирусы очень любят менять DNS на машинах.
Re: Запретить использовать другие DNS в сети
Добавлено: 10 май 2017, 00:18
hitman
Dragon_Knight писал(а):Я у себя на работе сделал проще:
Если вижу подключение локальной машине на внешний IP и порт 53 порт,
то полностью блокирую любую активность этого компа, даже локальную.
Вот это уже интересно:)
Скажите, каким образом реализовали это дело)
Я бы наверно по мягче был), оставил бы активность локальную
Кстати, как раз смотрел вашу статью - MikroTik Proxy Server => error.html (
viewtopic.php?t=4008)
Все очень красиво и четко сделано!
Спасибо!
Re: Запретить использовать другие DNS в сети
Добавлено: 10 май 2017, 01:21
Dragon_Knight
Элементарно.
Создаём правило, которое ловит пакеты, которые исходят из локальной сети на удалённый порт 53 (причём как tcp так и udp, т.е. два правила) и создаёт адрес лист с адресом источника.
Создаём правило которое дропает трафик, если адрес источника равен адрес листу от правила выше и размещаем это правило над вышеописанным правилом.
Вот и вся хитрость. Вся игра с уровнем блокировки реализуется во втором правиле. Можно заблокировать всё, а можно только сайты из вне.. Как угодно :)