Здравствуйте. Подскажите пожалуйста можно ли средствами Mikrotik, запретить подключенным пользователям, использовать днс сервера отличные от тех, которые заданы в mikrotik? Интересует заперт в подключениях по лан и vpn.
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect add chain=dstnat protocol=tcp dst-port=53 action=redirect Завернет любой пользовательский DNS-запрос на роутер
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 src-address-list=LIST1 action=dst-nat to-addresses=IP_DNS1 add chain=dstnat protocol=tcp dst-port=53 src-address-list=LIST1 action=dst-nat to-addresses=IP_DNS1 ..... add chain=dstnat protocol=udp dst-port=53 src-address-list=LIST-N action=dst-nat to-addresses=IP_DNS-N add chain=dstnat protocol=tcp dst-port=53 src-address-list=LIST-N action=dst-nat to-addresses=IP_DNS-N Как вариант.
При такой схеме альтернативные днс сервера указать не получится? Только один днс для одного адреса/списка адресов?
Попытался сделать вот так: Задача была сделать так, чтобы ip-адреса из списка "WhiteList" ходили по DNS-ам указанным в DNS-сервере, а все остальные перенаправлялись на 199.85.126.30. Но, происходит перенаправление всех ip-адресов, в том числе и адресов из "WhiteList", подскажите в чем ошибка?
Код: /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" log-prefix=\ "default configuration" out-interface=ether1 add action=dst-nat chain=dstnat comment=DNS dst-port=53 \ protocol=udp src-address-list=!WhiteList \ to-addresses=199.85.126.30 add action=dst-nat chain=dstnat comment=DNS dst-port=53 \ protocol=tcp src-address-list=!WhiteList to-addresses=199.85.126.30 add action=redirect chain=dstnat comment="DNS" dst-port=53 \ protocol=udp add action=redirect chain=dstnat comment="DNS" dst-port=53 \ protocol=tcp
Заработало. Помогла перезагрузка роутера, до этого не помогала =) Еще такой нюанс, в эти правила стоит добавить "in-interface=!WAN", иначе 53 порт будет наружу.
Делаю как написано, но правило dstnat зарубает весь dns-трафик у клиентов. Не могу понять что не так. 0 chain=srcnat action=masquerade out-interface=ether2-univer log=no log-prefix="" 1 chain=srcnat action=masquerade out-interface=student log=no log-prefix="" 2 chain=srcnat action=masquerade out-interface=ministry log=no log-prefix="" 3 chain=dstnat action=dst-nat to-addresses=8.8.8.8 protocol=udp src-address-list=student in-interface-list=!out dst-port=53 log=no log-prefix="" 4 chain=dstnat action=dst-nat to-addresses=8.8.8.8 protocol=tcp src-address-list=student in-interface-list=!out dst-port=53 log=no log-prefix="" 5 chain=dstnat action=redirect protocol=udp dst-port=53 log=no log-prefix="" 6 chain=dstnat action=redirect protocol=tcp dst-port=53 log=no log-prefix=""
Денис, спасибо за ответ. При отключении 5 и 6 dns запросы не проходят через роутер. Счетчик в правиле 3 увеличивается. Можете сами удаленно взглянуть. Дам вам пароль. Пока раздаю нужный адрес dns через dhcp сервер. Но хочется разобраться в вопросе.