الزام کاربران برای استفاده از dns داخلی

[boy67]

سلام
چه رولی در NAT لازم هست که یوزری مثلا در تنظیمات کارت شبکه خود با وارد کردن 8.8.8.8 یا هر آی پی دیگری به عنوان dns نتواند به اینترنت دسترسی پیدا کند و فقط با وارد کردن ip مورد نظر من ( آی پی خود میکروتیک ) به اینترنت بتواند دسترسی پیدا کند؟

---

موضوعات مشابه:

• پشتيبان شبكه در يك شركت هستم .براي انتقال تصاوير از فيبر نوري به سوييچ 2960از چه ماژولي استفاده كنم؟
• نحوه استفاده عملی win server2008 وتوانستن استفاده از رولها بدون اتصال به سیستم های دیگر
• استفاده از انتی ویروس داخل ویندوز مجازی برای استفاده در سیستم اصلی
• آموزش کامل شبیه سازی JunOS برای استفاده از دستگاه های Juniper در محیط GNS3 با استفاده از Qemu
• راه حلی برای استفاده یک یوزر از فلش در محیط دامین وقتی پورت ها بسته هستند

---

[mohsenhvac]

با جستجوی عبارت dns+میکروتیک به نتایج خوبی در انجمن میرسید

[MNaderi]

IP - DNS --> Yout MikroTik IP
یا این روش
add chain=dstnat action=dst-nat to-addresses= Your MikroTik IP Ke Mikhahid to-ports=60 protocol=tcp dst-port=60
این رول همه کاربران رو مجبور میکنه که ای پی شما رو وارد کنند و درخواست ها رو ریدایرکت میکنه رو پورت 60 مثلا

[mohsenhvac]

خب اگه به همون پورت dns فوروارد میشد بهتر نبود . اینطوری کاربر هر ادرس dns server رو تنظیم میکرد باز جوابش رو از میکروتیک میگرفت.

- - - ادامه - - -

این موضوع چندین بار در انجمن پاسخ داده شده . ایشون باید تمام ترافیک مربوط به dns رو ریدایرکت کنند به روتر میکروتیکشون .

کد:

/ip firewall nat
add chain=dstnat in-interface=LAN protocol=tcp prot=53 action=dst-nat to-addresses=x.x.x.x
add chain=dstnat in-interface=LAN protocol=udp prot=53 action=dst-nat to-addresses=x.x.x.x

x.x.x.x هم ادرس روترتون هست که دوست دارید بعنوان dns server در شبکه به کاربرانتون سرویس بده

- - - ادامه - - -

http://wiki.mikrotik.com/wiki/Force_users_to_use_specified_DNS_server

[boy67]

در mangle

کد HTML:

chain=prerouting action=mark-packet new-packet-mark=dns passthrough=yes 
protocol=udp dst-address=8.8.8.8 dst-port=53

در فایروال

کد HTML:

chain=forward action=drop packet-mark=dns

که در این صورت کاربر نمی تواند از dns 8.8.8.8 استفاده کند و سایت ها رو باز کند
برای بقیه dns ها هم به این صورت رول باید بنویسید

[mjzaret]

در mangle

کد HTML:

chain=prerouting action=mark-packet new-packet-mark=dns passthrough=yes 
protocol=udp dst-address=8.8.8.8 dst-port=53

در فایروال

کد HTML:

chain=forward action=drop packet-mark=dns

که در این صورت کاربر نمی تواند از dns 8.8.8.8 استفاده کند و سایت ها رو باز کند
برای بقیه dns ها هم به این صورت رول باید بنویسید

یعنی به ازای هر DNS یک رول بنویسد؟

این کار غیر منطقی به نظر می‌رسه.

به نظر من اینطور باید باشه که تمامی درخواستهای DNSها غیرمجاز بشن و فقط درخواست DNS خاصی مجاز بشه.

البته من تازه‌کار هستم، ولی به نظر من اینطوری باید باشه.

شاد باشید

[M-r-r]

شما چرا PAT نمیکنید ؟ همه پکت های 53 ورودی از یوزر ها رو بفرستید سمت DNS خودتون ! بذارید هر کی هر چیزی دوست داره ست کنه !

[boy67]

chain=dstnat action=dst-nat to-addresses=10.10.10.1 to-ports=53 protocol=udp dst-port=53

با این رول نیز هم میشه این کار رو کرد
منتها هدف من بستن dns خاص بود که حتی با ست کردن client هم data رد و بدل نشه

- - - ادامه - - -

یعنی به ازای هر DNS یک رول بنویسد؟

این کار غیر منطقی به نظر می‌رسه.

به نظر من اینطور باید باشه که تمامی درخواستهای DNSها غیرمجاز بشن و فقط درخواست DNS خاصی مجاز بشه.

البته من تازه‌کار هستم، ولی به نظر من اینطوری باید باشه.

شاد باشید

در mangle

chain=prerouting action=mark-packet new-packet-mark=dns passthrough=y
protocol=udp dst-address=!192.168.1.2 dst-port=53

در firewall

chain=forward action=drop packet-mark=dns

با این دو رول کاربر هر dns به جز 192.168.1.2 ست کند تمام packet هاش drop میشه

[hexman]

/ip firewall nat
add chain=dstnat in-interface=LAN protocol=tcp prot=53 action=dst-nat to-addresses=x.x.x.x
add chain=dstnat in-interface=LAN protocol=udp prot=53 action=dst-nat to-addresses=x.x.x.x

سلام

اکشن نباید redirect باشه؟

[alim1369]

این کلی تره ریدایرکت فقط به همین سروره ولی dst-nat به هر سروری بخواین میشه

[mojtaba461]

سلام

اکشن نباید redirect باشه؟

ریدایرکت برای تغییر پورت مقصد استفاده میشه