Gunner Posted October 12, 2011 Posted October 12, 2011 Задача завернуть все днс запросы на наш днс сервер. Микротик стоит бордером у клиентов реальники. Можно ли запрос от клиентов например на гугловский днс завернуть на наш ? Вставить ник Quote
s.lobanov Posted October 12, 2011 Posted October 12, 2011 На гугловский - легко. Просто сделать статический роут для их IP на свой сервер Вставить ник Quote
vlad11 Posted October 12, 2011 Posted October 12, 2011 (edited) На гугловский - легко. Просто сделать статический роут для их IP на свой сервер Поднимаются гугловские IP на сервере ДНС, на локалхосте. Заставляем named слушать эти IP. А на микротике прописываются роуты к этим IP. Edited October 12, 2011 by vlad11 Вставить ник Quote
alexmern Posted October 12, 2011 Posted October 12, 2011 проще сделать одно правило dnat Вставить ник Quote
Gunner Posted October 12, 2011 Author Posted October 12, 2011 (edited) chain=dstnat action=dst-nat to-addresses=10.50.0.5 to-ports=53 protocol=udp dst-port=53 src-address=!10.50.0.5 сделал такое правило резолвится все перкращает root@dhcp:/etc/bind# dig @8.8.8.8 wowmens.ru ; <<>> DiG 9.6.1-P2 <<>> @8.8.8.8 wowmens.ru ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached root@dhcp:/etc/bind# Edited October 12, 2011 by Gunner Вставить ник Quote
Ilya Evseev Posted October 13, 2011 Posted October 13, 2011 Ищем в Гугле: "mikrotik prerouting redirect" Тут же находим: http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling /ip firewall natadd chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache" Вставить ник Quote
Gunner Posted October 13, 2011 Author Posted October 13, 2011 (edited) /ip firewall nat add chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache" Если что правило редирект редиректит только на сам микротик, что мне не нужно. Гуглом я пользоваться тоже умею. пытаюсь общаться на форуме микротика пока только говорят что плохо это когда днс сервер за бордером стоит и использует его в качестве шлюза 5 X chain=dstnat action=dst-nat to-addresses=10.50.0.5 to-ports=53 protocol=udp src-address=!10.50.0.5 dst-port=53 root@dhcp:/etc/dhcp3# dig @8.8.8.8 wowmens.ru ; <<>> DiG 9.6.1-P2 <<>> @8.8.8.8 wowmens.ru ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached root@dhcp:/etc/dhcp3# ifconfig vlan5 vlan5 Link encap:Ethernet HWaddr 00:19:66:2b:ac:e1 inet addr:10.50.0.5 Bcast:10.50.0.255 Mask:255.255.255.0 inet6 addr: fe80::219:66ff:fe2b:ace1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:74238 errors:0 dropped:0 overruns:0 frame:0 TX packets:1854 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:6213003 (6.2 MB) TX bytes:382987 (382.9 KB) root@dhcp:/etc/dhcp3# непашет такая связка Edited October 13, 2011 by Gunner Вставить ник Quote
Ilya Evseev Posted October 13, 2011 Posted October 13, 2011 chain=dstnat action=dst-nat to-addresses=10.50.0.5 Если dns-сервер 10.50.0.5 находится в клиентской сети, то клиентам он отвечает напрямую и они видят, что получают ответы не от 8.8.8.8, поэтому игнорируют их. Либо настройте на Микротике DNS-сервер, который будет форвардить все запросы на 10.50.0.5, либо на 10.50.0.5 маршрутизируйте всё через Микротик, даже локалку. Вставить ник Quote
Gunner Posted October 14, 2011 Author Posted October 14, 2011 (edited) нет не в локалке у пользователей реальники вообще. Там немного хитрая схема микротик 10.50.0.3 билинг 10.50.0.2 и днс 10.50.0.5 сидят в 1 влане - прокинуты маршеруты на билинг пользовательи попадают уже с реальниками. Edited October 14, 2011 by Gunner Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.