Как запретить использовать другие dns сервера на микротик?
Суть такова. На роутере запретил сайты через статик днс. Добавил локальные имена которые перенаправляю на локальные ип. Но есть пользователи которые прописывают днс 8.8.8.8 у себя на машинах. Как это запретить на микротик?
сделал вот так
/ip firewall address-list
add address=8.8.8.8 list=GOOGLE_DNS
add address=8.8.4.4 list=GOOGLE_DNS
/ip firewall filter
add action=drop chain=forward dst-address-list=GOOGLE_DNS
так норм или нет, я не гуру (
ed_milson: Ну. Норм, если целью было похерить доступ к dns пользователю, прописавшему 8.8.8.8 и 8.8.4.4. А еще есть Яндекс.DNS, другие серваки. По вашей логике вы список будете регулярно дополнять. В предложенном мной варианте задействуется для общения с пользователем только dns-сервак тика. Он обрабатывает все запросы от пользователей. Перехват возможен из-за проблем в самом протоколе dns.
Я понял так. все пакеты по протоколу udp(tcp) с локальной сети Bridge с портом 53 перенаправят на 53 порт и не записывать в лог а потом идет log-prefix="" зачем не понял.
И где явно указано ip микротика, или action=redirect по умолчанию перенаправляет на адрес роутера?
С уважением.
ed_milson: редирект заворачивает все пакеты, попадающие под условия, на ip роутера. Результат выполнения команды будет аналогичен dst-nat to-address [router] to-port 53. За полным пониманием работы ната wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Если у тебя компы под windows зайди в настройки сетевой карты и насильно пропиши DNS. Поставь туда IP микротика, cкажи пользователям чтобы не использовали 8.8.8.8.
Потрясающий совет, особенно когда у тебя несколько тысяч пользователей в сети, и ты вместо того, чтобы запретить средствами GPO редактирование сетевых настроек, и задать свои "объясняешь" пользователю как делать не надо.
Простой
Простой
