Russian Users MikroTik | Форум пользователей MikroTik

Собственно продолжаю понемногу ковырять микротик. И вот возникла такая мысль:
У меня есть ТВ Самсунг, который живет своей жизнью в сети, что мне не очень нравиться. У меня есть список хостов, на которые мне не хочется его пускать. Раньше у меня было настроено таким образом, в StaticDNS были созданы соответствующие записи с перенаправлением на 127.0.0.1.
Но возникла мысль забанить все эти хосты через фаервол, сделал следующее:

В адрес лист соответственно внес все нужные хосты.

1. Правильно ли я все это сделал (это первое мое правило написанное собственноручно )
2. В чем отличие закрытия доступа через ДНС и Фаервол?
3. При большом количестве записей в СтатикДНС резко уменьшается количество памяти, если вносить все это в адрес лист, как это отразится на памяти и быстродействии?
4. Раньше при блокировании через СтатикДНС ТВ при проверке на новую прошивку сразу писал о проблемах, теперь он думает пару минут, но все равно пишет о недоступности интернета (может нужно что еще дописать в правило?)

Заранее спасибо за ответы.

1) Да, правило написано верно, если в адрес листе хосты к которым вы хотитет перекрыть доступ от телевизора.(логировать это все не обязательно)
2) Через днс нельзя что-то закрыть, просто это маленькое ухищрение, которое к тому же влияет на всех хосты внутри вашей сети без исключения, которые обращаются к вашему микротику с днс запросами, а в случае правила фаервола вы вольны выбирать кому и что можно, а кому нельзя.
3) Не могу ответить
4) Раньше ваш телевизор обращаясь по определенному имени получал ответ от днса, что это он же, т.е. пакеты не пропадали, а телевизор просто не находил нужный ресурс но хоть какой-то ответ получал, сейчас же, правило просто "дропает" пакеты, а поскольку пакеты просто уничтожаются, безответно, то телевизор повторяет попытки связаться с нужным адресом. Попробуйте заменить в правиле drop на reject, тогда возможно телевизор будет возвращаться ответ, что его запрос отклонен и он быстрее исчерпает свои попытки обращения, понимая что его запросы отклоняются, а не просто пропадают, ака пропадают.

По количеству записей в адрес-листе. У меня уже несколько лет работает лист с почти 5k записями на RB-951. Ни проблем, ни тормозов не имеется.

KARaS'b писал(а):2) Через днс нельзя что-то закрыть, просто это маленькое ухищрение, которое к тому же влияет на всех хосты внутри вашей сети без исключения, которые обращаются к вашему микротику с днс запросами, а в случае правила фаервола вы вольны выбирать кому и что можно, а кому нельзя.
4) Раньше ваш телевизор обращаясь по определенному имени получал ответ от днса, что это он же, т.е. пакеты не пропадали, а телевизор просто не находил нужный ресурс но хоть какой-то ответ получал, сейчас же, правило просто "дропает" пакеты, а поскольку пакеты просто уничтожаются, безответно, то телевизор повторяет попытки связаться с нужным адресом. Попробуйте заменить в правиле drop на reject, тогда возможно телевизор будет возвращаться ответ, что его запрос отклонен и он быстрее исчерпает свои попытки обращения, понимая что его запросы отклоняются, а не просто пропадают, ака пропадают.

2) Спасибо, как я понял результат мы получим одинаковый, но тонкую настройку можем сделать только в Фаерволе.

4) Я и думал попробовать reject, но дочитался что при сработке этого правила, удаленному хосту идет сообщение о сработке данного правила. Решил не расстраивать инжинеров Самсунга, и просто обрубать все на корню. Хотя глянул, там у reject есть много вариантов, может нужно какой спецефический поставить?

podarok66 писал(а):По количеству записей в адрес-листе. У меня уже несколько лет работает лист с почти 5k записями на RB-951. Ни проблем, ни тормозов не имеется.

У меня в СтатикДНС порядка 21000 записей, и свободной памяти из 128 осталось 30-25. Вроде бы как тоже не тормозит и всего мне хватает, но если есть вариант облегчить задачу роутеру, изменив место приложения блокировки, то может стоит заморочиться, вдруг в дальнейшем мне память понадобиться, а она уже есть :)

maxim_minton писал(а):Я и думал попробовать reject, но дочитался что при сработке этого правила, удаленному хосту идет сообщение о сработке данного правила. Решил не расстраивать инжинеров Самсунга...

Инженеры тут вовсе не причем, просто вы не правильно поняли то, что прочли. Если бы это правило стояло наружу и "из самсунга" обращались к вам, тогда да, вы бы их расстраивали т.к. ваш микротик бы им отвечал. В вашем же случае реджектом отвечать будете телевизору, что, теоретически, должно ускорить его попытки обращения к сервера самсунга и соответственно быстрее его угомонит.

KARaS'b писал(а):

maxim_minton писал(а):Я и думал попробовать reject, но дочитался что при сработке этого правила, удаленному хосту идет сообщение о сработке данного правила. Решил не расстраивать инжинеров Самсунга...

Инженеры тут вовсе не причем, просто вы не правильно поняли то, что прочли. Если бы это правило стояло наружу и "из самсунга" обращались к вам, тогда да, вы бы их расстраивали т.к. ваш микротик бы им отвечал. В вашем же случае реджектом отвечать будете телевизору, что, теоретически, должно ускорить его попытки обращения к сервера самсунга и соответственно быстрее его угомонит.

Ага.. Там было написано, что при reject удаленный хост получит сообщение о заблокированном пакете, вот я и подумал, что удаленный хост, это получатель, а не отправитель. Тогда это все меняет, т.е. грубо говоря drop- это сродни пакет ушел и о нем ни слуху ни духу, а reject - это пакет дошел до определенного момента, его убили и сказали отсылавшему, что такое не пройдет. Т.е. при drop отсылавший не знает что с пакетом, ждет ответа, и может продолжать его слать тем же путем, при reject отсылавший тут же получает ответ о заблокированном пакете, и может либо прекратить попытки, либо слать его другим путем. Ок, спасибо.