Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

настройка DNS на Микротик

https://forummikrotik.ru/viewtopic.php?t=9929

Страница 2 из 2

Re: настройка DNS на Микротик

Добавлено: 05 фев 2019, 15:50
Vlad-2
ААААААААА Извиваются.....ААААААА :sh_ok:
Sertik писал(а): 05 фев 2019, 15:21 Своими словами уточняю (для меня тупого бестолкового доктора):

1. Если Микротик получает DNS от провайдера (путём "use peer DNS" через любой вид разрешенных в Микротик автоматических получений настроек типа DHCP-клиент или PPOE) то сам роутер DNS эти возьмёт и на нем всё резолвится будет. Так ? Хорошо. Но Вы не уточнили что галка "use peer DNS" должна быть включена - а то не возьмет :-)
Всё верно, кроме того, что можно руками задать роутеру ДНС-адрес и всё. САМ роутер (как клиент сети) уже будет его использовать.

Sertik писал(а): 05 фев 2019, 15:21 Это Вы имеете ввиду - если у этих клиентов DNS-сервером стоит адрес роутера видимо ? Если же у них стоит не адрес роутера, а Яндекс с Гуглом скажем - они обойдутся без него и сами возьмут правльно же ? Можно ведь компу в Винде поставить и адрес роутера и ещё адреса как я уже спрашивал/писал. Снова не уточнили, а еще педант ::yaz-yk:
Ну если я буду все варианты уточнять, мой ответ преобразуется в инструкцию или в книжку, а про это мы не договаривались.
И тем более у нас сетевые технологии и куча разных нюансов, всё описать - и не возможно и даже не буду.
Педант,но в меру....
А вот искать что я не досказал, плохо, надо другое видеть, как настроить, как оно работает, как будет работать,
и это всё должен настройщик знать, ведь он "художничает".
Да и указывать внешний ДНС - в обычной схеме плохо. Я уже говорил.
Sertik писал(а): 05 фев 2019, 15:21 3. Защита 53 порта таким образом, нужно только, когда включена галка "Allow remoute ..." Тут в Инете пишут кучу вариантов настройки правил для защиты роутера. Просто хотел чтобы Вы привели правильное правило - вот и уточнял. Может ещё кто "не сильно знающий" читает наши излияния и ему пригодиться точный ответ знающего человека вместо того чтобы полдня ерунду неправильную в Инете читать ? :ya_hoo_oo:
Ну я же не инстанция в последнем слове. Каждый сам должен делать защиту.
Включаем голову, читаем как работают правила фильтрации, и пишем, что если пришёл
пакет на порт 53 внешнего интерфейса = пакет убить и ТОЧКА
(просто же) ;;-)))
Sertik писал(а): 05 фев 2019, 15:21 Чтобы Микротик не "досили" нужно ведь защищать порт 53 так чтобы на него не было запросов с WAN-интерфейсов ? Правильно же ? Тогда возникают дальше вопросы - а если нам это нужно (для кого-то кого мы "знаем" то для них можно сделать исключение - так ведь ?
Защита нужна всегда, а для кого - не совсем понял. Если нужен ДНС - покупается отдельный IP, ставиться отдельный сервер и вперёд.
Нет сервера, не хочется возиться, куча есть сервисом по обслуживания зон (услуга делегирования).
Sertik писал(а): 05 фев 2019, 15:21 Что правильно запрещать "запросы" или "ответы" ?
Естественно запросы, на спутниковом канале любой байт пришедший считается и оплачивается,
зачем мне "нахалу"-хакеру принимать его запрос, и ещё ему отвечать? Спамеру тоже будем отвечать? :-)

Re: настройка DNS на Микротик

Добавлено: 05 фев 2019, 17:20
Sertik
Ну я же не инстанция в последнем слове. Каждый сам должен делать защиту.
Включаем голову, читаем как работают правила фильтрации, и пишем, что если пришёл
пакет на порт 53 внешнего интерфейса = пакет убить и ТОЧКА
(просто же) ;;-)))
Вот поглядите, как "пудрят мозг" чайникам в Интернете только по этому вопросу (а Вы обо мне грустите, куды же бедному крестьянину податься, если такое читаешь, а сам мало что знаешь):Вот и эффект :zvez_ochki:

http://vedernikoff.ru/dns-v-mikrotik/

Мне кажется, что автор этой статьи сильно "накрутил" с запрещающими и разрешающими правилами ... Нельзя что ли было сразу дропануть все dst на 53 порт с внешнего интерфейса и всё ? Зачем это всё, что он написал ... Зачем "разрешал" запросы с локальной сети - ведь "всё что не запрещено - по умолчанию разрешено" ?

Ваше мнение ? И завяжем с темой, спасибо большое Вам.

Re: настройка DNS на Микротик

Добавлено: 06 фев 2019, 13:50
Vlad-2
Sertik писал(а): 05 фев 2019, 17:20 Ваше мнение ? И завяжем с темой, спасибо большое Вам.
Я себя считаю ещё "зелёным" по знаниям в микротиках, поэтому как-то чужие статьи
оценивать и давать им оценку и значимость = преждевременно.
Да и статья, более старая, там упоминается прошивка 6.15, а после 6.38
стали и адрес-листы динамически подхватывать адресацию и много чего.

В любом случаи я не очень люблю в рамках логики маршрутизации оперировать
портами (ether2 и так далее).

Поэтому я делаю защиту от флуда ДНС в RAW таблице с записью атакующих в лог на 24 часа
А уже в таблице Filter Rules я проверяю, если уже есть атакующий из этого списка, то
сразу - Drop на всё.

Код: Выделить всё

/ip firewall raw
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-TCP-RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=list0-WANs-ALL jump-target=DNS-Flood-UDP-RAW protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-TCP-RAW
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=DNS-Flood-UDP-RAW
add action=drop chain=DNS-Flood-TCP-RAW
add action=drop chain=DNS-Flood-UDP-RAW

Re: настройка DNS на Микротик

Добавлено: 06 фев 2019, 15:43
Sertik
Ничего себе :ze_le_ny: :hi_hi_hi: Скромность украшает :-): и всегда приводит к результатам (не сразу, как многие хотят в современном обществе прыжков и гримас, а в долгосрочной перспективе) ... Зато это айс во всех отношениях !

Спасибо ! Никогда такого способа ещё не видел ... про row как-нибудь потом спрошу, когда немного "подрасту" ...
Часовой пояс: UTC+03:00
Страница 2 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB