140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
1

Микротик привязка по DNS

11.11.2014, 10:23. Показов 4383. Ответов 16
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Добрый день! Кто нибуть подскажет как на микротике запретить доступ в инет по имени компьютера в сети можно вообще так сделать?
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
11.11.2014, 10:23
Ответы с готовыми решениями:

DNS привязка
Есть IP хоста, есть домен и DNS сервера регистратора. Привязать IP к DNS зоне для перенаправления...

Как "подружить" DHCP на микротик и DNS Windows
Здравствуйте! На микротике в доменной сети создана подсеть, настроен DHCP. Теперь вопрос: как...

Привязка бесплатного домена dot.tk к DNS на w2k8 r2
Привет, вот с какой проблеймой столкнулся: Поставил DNS сервер на w2k8 r2. Зарегистрировал...

Привязка к хосту DNS Server по IP работает только на серверной кроме других пк
IIS привязка к хосту DNS Server по IP работает только на серверной кроме других пк есть такая...

16
68 / 68 / 4
Регистрация: 23.01.2013
Сообщений: 310
11.11.2014, 11:02 2
по ip можно точно
1
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
11.11.2014, 11:14  [ТС] 3
Проблемка в том что ip динамический если в dhcp как нибуть еще запретить выдачу ip для имени
0
68 / 68 / 4
Регистрация: 23.01.2013
Сообщений: 310
11.11.2014, 11:48 4
как вариант, выдавать с DHCP-шки адреса по резервированию, т.е. по сути статические. и тогда по адресам настраивать фаерволл.
Можно указать микротику вторичным DNS сервером, ваш сервер в сети (если есть конечно), тогда и адреса компов можно указывать символьные, и он их будет преобразовывать в IP-шники, но это опять же до смены адреса у компа.
Мне самому стало интересно, я попробовал на своем, даже если блокировать доступ не с компа а к сайту (а уних понятно адреса постоянные) по DNS имени, то в таблице он тут же преобразуется в IP. Так что, если не городить огороды с какими-нибудь радиусами или PPPoE, то остается статическая раздача адресов в сети.
И еще DNS преобразуется в айпишник только в винбоксе, по ssh не принимает правила с DNS именами.
1
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
11.11.2014, 12:03  [ТС] 5
Да казалось бы такая простая вещь микротик увидел в запросе имя кампутера и отфильтровал его.
ну городить огороды не хотелось бы

Добавлено через 4 минуты
ну по сайтам там более менее понятно например вот в этой теме микротик блочит vk

Добавлено через 2 минуты
Была мысль левые DNS выдавать опять же именно для этого компа
0
68 / 68 / 4
Регистрация: 23.01.2013
Сообщений: 310
11.11.2014, 12:10 6
Сейчас обдумал суть вопроса, сразу и не возникло вголове: сам по себе запрос/пакет не содержит символьного имени ни запросившего компа, ни адресата. Он содержит именно в IP адреса. Соответственно абсолютно логично, что микротик не может определить от компа с каким ИМЕНЕМ пришел запро/пакет и отфильтровать его.
Всё просто.
Ну и соответсвенно микротик все-таки не такая уж крутющая штуковина, чтоб на лету преобразовывать адреса в пакетах в DNS имена и по ним фильтровать.
Возможно, те штуки, которые так умеют, используют какое-нибудь динамическое обновление например arp таблиц. на что тоже нужны ресурсы.
0
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
11.11.2014, 12:48  [ТС] 7
Хорошо по маку то можно как нибуть попроще, попробую мак раздобыть.
0
Эксперт по компьютерным сетям
860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,116
11.11.2014, 15:29 8
1. мас с символьным именем никак не связан, он здесь бесполезен
2. "раздобывать" его тоже не надо - если вы с тем компом в одном широковещательном домене - просто пинганите его - и мас-адрес - у вас в ARP-таблице (еще раз - он вам тут не нужен), если в разных широковещательных доменах - тем более - нет никакого способа узнать его через сеть (arp-proxy по умолчанию нигде не включен), и, более того, он даже в пакетах, прищедших от того узла, никогда и нигде указан не будет
3. как уже было написано, DHCP-резервирование обеспечит получение компом постоянного IP-адреса, его и блокируйте
4. для таких вещей обычно используют прокси-сервера (но, потребуется этот самый сервер - постоянно включенный). простенький и бесплатный под винду, например - HandyCache (заодно и внешний трафик кэшировать сможет)
0
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
11.11.2014, 15:48  [ТС] 9
Цитата Сообщение от Korax Посмотреть сообщение
2. "раздобывать" его тоже не надо - если вы с тем компом в одном широковещательном домене - просто пинганите его - и мас-адрес - у вас в ARP-таблице (еще раз - он вам тут не нужен), если в разных широковещательных доменах - тем более - нет никакого способа узнать его через сеть (arp-proxy по умолчанию нигде не включен), и, более того, он даже в пакетах, прищедших от того узла, никогда и нигде указан не будет
Да нет он просто выключен.
А как же если можно создать правило на микротике там можно mac указать
0
Эксперт по компьютерным сетям
860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,116
11.11.2014, 16:51 10
Указать-то можно. Только вот у вас задача-заблокировать выход в инет одному из узлов. Его можно опознать по МАС, по IP, по символьному имени.
1. По МАС - обычно не делают. Мой второй пункт означал, что "раздобыть-узнать" МАС-адрес в зависимости от местоположения узла в сети - задача или тривиальная или неразрешимая. Но все же, если хотите фильтровать по МАС, то можно как-нибудь так (МАС-адрес нужный воткните):
Код
/ip firewall filter
add chain=forward src-mac-address=00:01:02:03:04:05 action=drop
2. Чтобы блокировать по IP - нужно, чтобы он был постоянен. Для этого, как уже было написано - надо использовать DHCP-резервацию
3. По символьному адресу - не выйдет
4. подробности (на всякий случай): http://wiki.mikrotik.com/wiki/... all/Filter
1
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
11.11.2014, 17:26  [ТС] 11
Если правило сработает то почему бы и нет, а почему по mac не делают?
Кстати
Цитата Сообщение от Korax Посмотреть сообщение
4. для таких вещей обычно используют прокси-сервера (но, потребуется этот самый сервер - постоянно включенный). простенький и бесплатный под винду, например - HandyCache (заодно и внешний трафик кэшировать сможет)
Не люблю заворачивать трафик через сторонние облачные сервера, если б можно было свой прокси поднять
0
68 / 68 / 4
Регистрация: 23.01.2013
Сообщений: 310
11.11.2014, 17:34 12
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
если б можно было свой прокси поднять
а почему нельзя?
0
Эксперт по компьютерным сетямЭксперт NIX
12999 / 7393 / 798
Регистрация: 09.09.2009
Сообщений: 28,943
12.11.2014, 10:19 13
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
Не люблю заворачивать трафик через сторонние облачные сервера
а где в процитированном вы вообще увидели что-то "облачное"?
0
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
12.11.2014, 12:30  [ТС] 14
Цитата Сообщение от Dmitry Посмотреть сообщение
а где в процитированном вы вообще увидели что-то "облачное"?
HandyCash. Извиняюсь если это не так, показалость что так

Добавлено через 5 минут
Вообще правило сработало так что все в порядке)
0
Эксперт по компьютерным сетямЭксперт NIX
12999 / 7393 / 798
Регистрация: 09.09.2009
Сообщений: 28,943
12.11.2014, 13:13 15
Цитата Сообщение от Cdelphi78 Посмотреть сообщение
HandyCash. Извиняюсь если это не так, показалость что так
второй ответ гугла
HandyCache — Википедия
ru.wikipedia.org/wiki/HandyCache‎
HandyCache — это локальный кэширующий прокси-сервер для операционной системы Windows. Основная функция программы — экономия входящего ...
0
0 / 0 / 0
Регистрация: 20.11.2014
Сообщений: 11
20.11.2014, 18:43 16
Можно написать скрипт , который будет проверять dhcp каждую минут, потом если он есть в листе активных то перенесом данный ip в "адресс лист " а там уже правила Firewall отроботает .

Если будет интресно как это сделать пиши на мыло eropa@live.ru
0
140 / 74 / 18
Регистрация: 21.02.2014
Сообщений: 3,436
21.11.2014, 09:42  [ТС] 17
Дак, собственно правило сработало, фильтрация по mac я видимо не отписался
0
21.11.2014, 09:42
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
21.11.2014, 09:42
Помогаю со студенческими работами здесь

Нагрузка на DNS сервер. DNS на Windows Server. Мощности оборудования для больших DNS серверов
Приветствую коллеги! Интересно ваше узнать ваше мнение (а может быть у вас есть практика) какие...

Перенаправление DNS запросов из локальной сети к DNS серверу провайдера
Добрый день! Необходимо настроить простейший инет шлюз на freebsd и PF. Может кто сможет...

DNS стали глючить игры на ноуте DNS Nvidia gt 540m,6 гб оперативки,2.5 ггц
стали глючить игры на ноуте DNS Nvidia gt 540m,6 гб оперативки,2.5 ггц,раньше даже гта 4 без глюков...

Сравнение DNS сервера MS Windows DNS и BIND
Доброго времени суток. Прошу помощи в выборе правильных критериев в сравнении ПО. Сравниваются DNS...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
17
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru