kolizey Опубликовано 7 января, 2017 · Жалоба Всем доброго дня. Прошу не пинать, нагуглить решение не смог. Есть сеть в которой есть микротик и который является кэширующим днс сервером. На нем прописаны локальные серверы и все прочее. Но повадились люди прописывать внешние днс у себя, как-то гугл или яндекс и потом плачут, что у них личные кабинеты и прочие ресурсы не находятся... Как правильно запретить внешние днс из локальной сети для пользователей, но чтоб сам микротик мог внешние днс использовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 7 января, 2017 · Жалоба Запретить в фаерволе форвард и порт 53 udp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kolizey Опубликовано 7 января, 2017 · Жалоба vnkorol Попробую... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kolizey Опубликовано 7 января, 2017 · Жалоба Сделал так add action=drop chain=forward comment=DNS_DROP dst-port=53 log=yes log-prefix=DNS_ protocol=tcp src-port=53 add action=drop chain=forward comment=DNS_DROP dst-port=53 log=yes log-prefix=DNS_ protocol=udp src-port=53 Поправьте если что-то не правильно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 7 января, 2017 · Жалоба Правильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 7 января, 2017 (изменено) · Жалоба Лучше так: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком. Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит. Изменено 7 января, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 11 января, 2017 · Жалоба Лучше так: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком. Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит И что это даст - куда будет редиректится трафик по такому правилу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nuts Опубликовано 11 января, 2017 · Жалоба Лучше так: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком. Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит И что это даст - куда будет редиректится трафик по такому правилу? На сам Микротик. Очень полезный action. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 11 января, 2017 · Жалоба Rainmib, сюда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...