Jump to content
  • 0

mikrotik и opendns


sauronnet
 Share

Question

Здравейте, имам следния казус. Имам настроен миктотик зад който има 50-60 клиента основно по лан. Настроени са днс-ите на микротика с тези на Opendns и съм задал ограниченията и разрешените сайтове от портала на опенднс. С някои условности работи според изискванията, но се оказа че ако някой зададе локално на PC  друг Dns по този начин заобикаля dns-a на рутера и съответно рестрикцийте на Opendns. Как може да се зададе от микротика всички заявки към външни сайтове да минават през днс-ите зададени в микротика. Благодаря.

Link to comment
Share on other sites

10 answers to this question

Recommended Posts

  • 0
  • Administrator
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.1.0/24 to-addresses=192.168.1.1 to-ports=53

По подробно тук https://itservice-bg.net/конфигуриране-на-mikrotik-като-ngfw-интелигентн/

  • Like 1
Link to comment
Share on other sites

  • 0

Или по-глобалното правило е да се ползва : action=redirect като се добави и същото за tcp .  Нужно е да се блокира допълнително порт 853 и всички заявки на порт 443 към адресите , които са поне най-известни поддържащи DOH.

Link to comment
Share on other sites

  • 0
  • Administrator

Проблем остава dns-over-https.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Ако имаш възможност за контрол върху компютрите, направи така че да не могат потребителите сами да си задават IP настройките. Това ще ти реши проблема за 99% от хората.

Link to comment
Share on other sites

  • 0
преди 30 минути, ilko-gd написа:

Ако имаш възможност за контрол върху компютрите, направи така че да не могат потребителите сами да си задават IP настройките. Това ще ти реши проблема за 99% от хората.

Проблема е как да ристрикнеш мрежовите настройки в браузъра по-скоро!

Link to comment
Share on other sites

  • 0

Някой срещал ли е списък с IP адресите на известни DoH сървъри, който да се поддържа актуален? В IP -> Firewall може да се добави правило, което да блокира трафика към такъв списък.

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 1 час, ilko-gd написа:

Някой срещал ли е списък с IP адресите на известни DoH сървъри, който да се поддържа актуален? В IP -> Firewall може да се добави правило, което да блокира трафика към такъв списък.

И как ще го направиш като сайта е и ДНС?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Идеята ми беше ако е възможно да се блокира IP адреса на сървъра, на който се намира въпросният DNS сайт. DoH е нещо ново поне за мен, което не съм разучавал и експериментирал с него. Въпроса, е че ще се налага да се борим с него в локалните мрежи и трябва да имаме варианти.

Сега разгледах за OpenDNS и там са обяснили, че имат филтър за известни DoH доставчици, но не гарантират, защото постоянно се появяват нови и т.н.

 

Link to comment
Share on other sites

  • 0
  • Administrator

Търси L7 заявката каква е и да се приключва.

 

  1. Block CloudFlare: 1.1.1.1 and 1.0.0.1: port 853 to stop DoH
  2. Create rules in your Layer 7 ACP block UDP/443 to stop QUIC
  3. Create rules in your Layer 7 ACP to only allow DNS to your known nameservers and block all other DNS
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Преди 5 часа, ilko-gd написа:

Идеята ми беше ако е възможно да се блокира IP адреса на сървъра, на който се намира въпросният DNS сайт. DoH е нещо ново поне за мен, което не съм разучавал и експериментирал с него. Въпроса, е че ще се налага да се борим с него в локалните мрежи и трябва да имаме варианти.

Сега разгледах за OpenDNS и там са обяснили, че имат филтър за известни DoH доставчици, но не гарантират, защото постоянно се появяват нови и т.н.

 

Ето ти листите !

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.