Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Запрет на смену DNS

https://forummikrotik.ru/viewtopic.php?t=13293

Страница 1 из 1

Запрет на смену DNS

Добавлено: 06 дек 2021, 12:17
mihail.shishkin
Доброго времени суток!

Настроил таким образом(во вложениях) жесткую привязку DNS к определенным компьютерам, каким образом настроить правило что бы оно не перенаправляла на общий DNS при смене руками в сетевом адаптере !?

Изображение

Изображение

Изображение

Изображение

Re: Запрет на смену DNS

Добавлено: 06 дек 2021, 12:33
Inner
запретить любой forward по 53 порту кроме того адреса который Вам нужен. Таким образом dns будет работать только то который Вы укажете, а если его сменят самостоятельно, то ничего не заработает.

Re: Запрет на смену DNS

Добавлено: 06 дек 2021, 12:35
mihail.shishkin
Inner писал(а): 06 дек 2021, 12:33 запретить любой forward по 53 порту кроме того адреса который Вам нужен. Таким образом dns будет работать только то который Вы укажете, а если его сменят самостоятельно, то ничего не заработает.
Можно пожалуйста тектовый файл настройки! Буду очень признателен!

Re: Запрет на смену DNS

Добавлено: 06 дек 2021, 12:44
Inner

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=DNSClient
Что-то типо этого. Под свою специфику сами подстройте. В адреслист можно засунуть ip внутренних клиентов. Или не указывать его вообще, но тогда правило будет работать на всех. Если прям совсем включить режим параноика, то укажите ещё и tcp протокол вторым правилом. Если число тех, кому запрещено менять dns больше, то можно попробывать

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=!DNSClient
но в адреслист указать уже тех, кому можно менять.

Re: Запрет на смену DNS

Добавлено: 06 дек 2021, 12:53
mihail.shishkin
Inner писал(а): 06 дек 2021, 12:44

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=DNSClient
Что-то типо этого. Под свою специфику сами подстройте. В адреслист можно засунуть ip внутренних клиентов. Или не указывать его вообще, но тогда правило будет работать на всех. Если прям совсем включить режим параноика, то укажите ещё и tcp протокол вторым правилом. Если число тех, кому запрещено менять dns больше, то можно попробывать

Код: Выделить всё

add action=drop chain=forward dst-port=53 protocol=udp src-address-list=!DNSClient
но в адреслист указать уже тех, кому можно менять.
Огромное спасибо за помощь!!!

Re: Запрет на смену DNS

Добавлено: 07 дек 2021, 09:49
hardrockbaby
Если на микроте активен сервер днс то можно перенаправлять запросы на сам роутер

Код: Выделить всё

/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=udp
add action=redirect chain=dstnat dst-port=53 protocol=tcp
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB