Jump to content

Mikrotik DNS

kolizey
 Share

Recommended Posts

kolizey

kolizey

Posted
Posted

Всем доброго дня.

Прошу не пинать, нагуглить решение не смог.

Есть сеть в которой есть микротик и который является кэширующим днс сервером. На нем прописаны локальные серверы и все прочее.

Но повадились люди прописывать внешние днс у себя, как-то гугл или яндекс и потом плачут, что у них личные кабинеты и прочие ресурсы не находятся...

Как правильно запретить внешние днс из локальной сети для пользователей, но чтоб сам микротик мог внешние днс использовать?

kolizey

kolizey

Posted
  • Author
Posted

Сделал так

add action=drop chain=forward comment=DNS_DROP dst-port=53 log=yes log-prefix=DNS_ protocol=tcp src-port=53

add action=drop chain=forward comment=DNS_DROP dst-port=53 log=yes log-prefix=DNS_ protocol=udp src-port=53

Поправьте если что-то не правильно?

nkusnetsov

nkusnetsov

Posted
Posted (edited)

Лучше так:

/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local

 

Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком.

Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит.

Edited by nkusnetsov
Rainmib

Rainmib

Posted
Posted

Лучше так:

/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local

 

Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком.

Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит

И что это даст - куда будет редиректится трафик по такому правилу?

Nuts

Nuts

Posted
Posted

Лучше так:

/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp in-interface=bridge-local

 

Тогда, что бы не прописал себе пользователь, всё равно все запросы перехватятся микротиком.

Название интерфейса для "in-interface" подставьте свое, которое в LAN смотрит

И что это даст - куда будет редиректится трафик по такому правилу?

На сам Микротик. Очень полезный action.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.