kolizey Posted January 7, 2017 · Report post Всем доброго дня. Прошу не пинать, нагуглить решение не смог. Есть сеть в которой есть микротик и который является кэширующим днс сервером. На нем прописаны локальные серверы и все прочее. Но повадились люди прописывать внешние днс у себя, как-то гугл или яндекс и потом плачут, что у них личные кабинеты и прочие ресурсы не находятся... Как правильно запретить внешние днс из локальной сети для пользователей, но чтоб сам микротик мог внешние днс использовать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted January 7, 2017 · Report post Запретить в фаерволе форвард и порт 53 udp? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kolizey Posted January 7, 2017 · Report post vnkorol Попробую... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kolizey Posted January 7, 2017 · Report post Сделал так add action=drop chain=forward comment=DNS_DROP dst-port=53 log=yes log-prefix=DNS_ protocol=tcp src-port=53 add action=drop chain=forward comment=DNS_DROP dst-port=53 log=yes log-prefix=DNS_ protocol=udp src-port=53 Поправьте если что-то не правильно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
starik-i-more Posted January 7, 2017 · Report post Правильно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted January 7, 2017 (edited) · Report post Лучше так: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком. Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит. Edited January 7, 2017 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Rainmib Posted January 11, 2017 · Report post Лучше так: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком. Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит И что это даст - куда будет редиректится трафик по такому правилу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nuts Posted January 11, 2017 · Report post Лучше так: /ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком. Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит И что это даст - куда будет редиректится трафик по такому правилу? На сам Микротик. Очень полезный action. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted January 11, 2017 · Report post Rainmib, сюда Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...