Добрый день всем ! Только зарегистрировался на форуме . Есть не который вопрос , может кто подскажет куда "копать" .
У меня задача такого плана - необходимо убрать весь лишний трафик , включая DNS запросы из LAN , кроме необходимых .
т.е. например , нужно чтобы пользователи ходили только на несколько разрешенных сайтов + email , остальное все закрыто .
Что я сделал : в фаерволе микротика правила в droop все UDP 53 на input , forward и output , составил Adress List что разрешено . В hosts файле Windows прописал список "разрешенных" сайтов и их IP . Работает , трафика лишнего нет . Но можно ли это сделать в микротик ? т.к. например доступ с ПК ( из LAN ) на разрешенные ресурсы есть , а доступа с мобилы через WiFi естественно нет , т.к. DNS все закрыты .
Как это сделать ? , возможно ли разрешить прохождение DNS запроса только если пользователь вводит в браузере "разрешенный сайт" , или как-то (где) статикой прописывать разрешенные IP ( по аналогу с hosts )
Дело касается трафика на спутниковых каналах , где трафик очень дорогой , приходится чуть ли не каждый килобайт считать ....
Буду благодарен за помощь .
DNS закрыть , кроме необходимых
-
- Сообщения: 3
- Зарегистрирован: 26 мар 2019, 06:03
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: DNS закрыть , кроме необходимых
Добрый.
Если прописывание конкретных IP в hosts помогает — то же самое можно, по идее, сделать в DNS роутера, добавив ещё одну дополнительную запись с регулярным выражением ".*" (и адресом 127.0.0.1, например), под которую попадут все остальные запросы, не прописанные на роутере. Ну и после этого разрешить 53/UDP из LAN.
Если прописывание конкретных IP в hosts помогает — то же самое можно, по идее, сделать в DNS роутера, добавив ещё одну дополнительную запись с регулярным выражением ".*" (и адресом 127.0.0.1, например), под которую попадут все остальные запросы, не прописанные на роутере. Ну и после этого разрешить 53/UDP из LAN.
-
- Сообщения: 3
- Зарегистрирован: 26 мар 2019, 06:03
Re: DNS закрыть , кроме необходимых
Добрый день!
В продолжение темы . Нашел я пока решение такого плана . Видимо в моем случае статика это лучший вариант для жесткой экономии расхода трафика . Как и было ранее все DNS input/forward/output , 53 UDP все в drop. В IP-DNS-Static прописал все нужные мне ресурсы ( их всего штук 10 получилось ), IP и URL , поставил галку Allow Remote Request ( без нее не работает ) . т.е. то , что я раннее писал в host файле . Теперь есть доступ и через WiFi с разрешенных мобил . Если на мобилах не нужно открывать ресурсы которые нужны , можно также все в host и оставить все , будет открываться то , что нужно только на ПК .
Все что нужно было разрешить записал в Adr List ( только IP прописал , без URL . т.к. если в нем сейчас можно и URL в новой версии писать , но тогда начинается опять проблема с DNS запросами ), ну и правила forward TCP accept для этого сделал .
Далее была задача сделать WhatsApp через Микротик и спутниковый канал . Вот тут пришлось долго долго .... вычислять через Акулу весь этот трафик , IP и т.д. , итоге все кажется получилось . DNS для него разрешил только используя L7 , только так , другого решения не нашел . Но трафик у меня не большой поэтому думаю нагрузки на проц сильно не будет . Есть еще такой мессенджер для спутниковых каналов BySky называется , его тоже ради интереса запустил , тоже только через L7 DNS запустил . Вот как-то так , пока все работает , в офисе откатал почти , скоро буду на судно на Иридиум ставить ( и Инмарсат ) ставить все это дело .
В продолжение темы . Нашел я пока решение такого плана . Видимо в моем случае статика это лучший вариант для жесткой экономии расхода трафика . Как и было ранее все DNS input/forward/output , 53 UDP все в drop. В IP-DNS-Static прописал все нужные мне ресурсы ( их всего штук 10 получилось ), IP и URL , поставил галку Allow Remote Request ( без нее не работает ) . т.е. то , что я раннее писал в host файле . Теперь есть доступ и через WiFi с разрешенных мобил . Если на мобилах не нужно открывать ресурсы которые нужны , можно также все в host и оставить все , будет открываться то , что нужно только на ПК .
Все что нужно было разрешить записал в Adr List ( только IP прописал , без URL . т.к. если в нем сейчас можно и URL в новой версии писать , но тогда начинается опять проблема с DNS запросами ), ну и правила forward TCP accept для этого сделал .
Далее была задача сделать WhatsApp через Микротик и спутниковый канал . Вот тут пришлось долго долго .... вычислять через Акулу весь этот трафик , IP и т.д. , итоге все кажется получилось . DNS для него разрешил только используя L7 , только так , другого решения не нашел . Но трафик у меня не большой поэтому думаю нагрузки на проц сильно не будет . Есть еще такой мессенджер для спутниковых каналов BySky называется , его тоже ради интереса запустил , тоже только через L7 DNS запустил . Вот как-то так , пока все работает , в офисе откатал почти , скоро буду на судно на Иридиум ставить ( и Инмарсат ) ставить все это дело .
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: DNS закрыть , кроме необходимых
Добрый.
Ну, по идее, должен использоваться локальный DNS для Address List'а, если указывать доменные имена.
Питание от солнечной батареи?
-
- Сообщения: 3
- Зарегистрирован: 26 мар 2019, 06:03
Re: DNS закрыть , кроме необходимых
В Addr Liste он использует тогда запросы DNS и они летят в спутник .
Питание не , не от солнечной )) , но трафик жутко дорогой , 15 usd 1 Мбайт , вот и приходится зажимать его со всех сторон .
Питание не , не от солнечной )) , но трафик жутко дорогой , 15 usd 1 Мбайт , вот и приходится зажимать его со всех сторон .