mikrotik и opendns

[sauronnet]

Здравейте, имам следния казус. Имам настроен миктотик зад който има 50-60 клиента основно по лан. Настроени са днс-ите на микротика с тези на Opendns и съм задал ограниченията и разрешените сайтове от портала на опенднс. С някои условности работи според изискванията, но се оказа че ако някой зададе локално на PC  друг Dns по този начин заобикаля dns-a на рутера и съответно рестрикцийте на Opendns. Как може да се зададе от микротика всички заявки към външни сайтове да минават през днс-ите зададени в микротика. Благодаря.

[Самуил Арсов]

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.1.0/24 to-addresses=192.168.1.1 to-ports=53

По подробно тук https://itservice-bg.net/конфигуриране-на-mikrotik-като-ngfw-интелигентн/

[JohnTRIVOLTA]

Или по-глобалното правило е да се ползва : action=redirect като се добави и същото за tcp .  Нужно е да се блокира допълнително порт 853 и всички заявки на порт 443 към адресите , които са поне най-известни поддържащи DOH.

[111111]

Проблем остава dns-over-https.

[ilko-gd]

Ако имаш възможност за контрол върху компютрите, направи така че да не могат потребителите сами да си задават IP настройките. Това ще ти реши проблема за 99% от хората.

[JohnTRIVOLTA]

преди 30 минути, ilko-gd написа:

Ако имаш възможност за контрол върху компютрите, направи така че да не могат потребителите сами да си задават IP настройките. Това ще ти реши проблема за 99% от хората.

Проблема е как да ристрикнеш мрежовите настройки в браузъра по-скоро!

[ilko-gd]

Някой срещал ли е списък с IP адресите на известни DoH сървъри, който да се поддържа актуален? В IP -> Firewall може да се добави правило, което да блокира трафика към такъв списък.

[111111]

Преди 1 час, ilko-gd написа:

Някой срещал ли е списък с IP адресите на известни DoH сървъри, който да се поддържа актуален? В IP -> Firewall може да се добави правило, което да блокира трафика към такъв списък.

И как ще го направиш като сайта е и ДНС?

[ilko-gd]

Идеята ми беше ако е възможно да се блокира IP адреса на сървъра, на който се намира въпросният DNS сайт. DoH е нещо ново поне за мен, което не съм разучавал и експериментирал с него. Въпроса, е че ще се налага да се борим с него в локалните мрежи и трябва да имаме варианти.

Сега разгледах за OpenDNS и там са обяснили, че имат филтър за известни DoH доставчици, но не гарантират, защото постоянно се появяват нови и т.н.

 

[111111]

Търси L7 заявката каква е и да се приключва.

 

1. Block CloudFlare: 1.1.1.1 and 1.0.0.1: port 853 to stop DoH
2. Create rules in your Layer 7 ACP block UDP/443 to stop QUIC
3. Create rules in your Layer 7 ACP to only allow DNS to your known nameservers and block all other DNS

[JohnTRIVOLTA]

Преди 5 часа, ilko-gd написа:

Идеята ми беше ако е възможно да се блокира IP адреса на сървъра, на който се намира въпросният DNS сайт. DoH е нещо ново поне за мен, което не съм разучавал и експериментирал с него. Въпроса, е че ще се налага да се борим с него в локалните мрежи и трябва да имаме варианти.

Сега разгледах за OpenDNS и там са обяснили, че имат филтър за известни DoH доставчици, но не гарантират, защото постоянно се появяват нови и т.н.

 

Ето ти листите !