DNS закрыть , кроме необходимых

Базовая функциональность RouterOS
Ответить
Dmitry
Сообщения: 3
Зарегистрирован: 26 мар 2019, 06:03

DNS закрыть , кроме необходимых

Сообщение Dmitry »

Добрый день всем ! Только зарегистрировался на форуме . Есть не который вопрос , может кто подскажет куда "копать" .
У меня задача такого плана - необходимо убрать весь лишний трафик , включая DNS запросы из LAN , кроме необходимых .
т.е. например , нужно чтобы пользователи ходили только на несколько разрешенных сайтов + email , остальное все закрыто .
Что я сделал : в фаерволе микротика правила в droop все UDP 53 на input , forward и output , составил Adress List что разрешено . В hosts файле Windows прописал список "разрешенных" сайтов и их IP . Работает , трафика лишнего нет . Но можно ли это сделать в микротик ? т.к. например доступ с ПК ( из LAN ) на разрешенные ресурсы есть , а доступа с мобилы через WiFi естественно нет , т.к. DNS все закрыты .
Как это сделать ? , возможно ли разрешить прохождение DNS запроса только если пользователь вводит в браузере "разрешенный сайт" , или как-то (где) статикой прописывать разрешенные IP ( по аналогу с hosts )
Дело касается трафика на спутниковых каналах , где трафик очень дорогой , приходится чуть ли не каждый килобайт считать ....
Буду благодарен за помощь .
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: DNS закрыть , кроме необходимых

Сообщение Chupaka »

Добрый.

Если прописывание конкретных IP в hosts помогает — то же самое можно, по идее, сделать в DNS роутера, добавив ещё одну дополнительную запись с регулярным выражением ".*" (и адресом 127.0.0.1, например), под которую попадут все остальные запросы, не прописанные на роутере. Ну и после этого разрешить 53/UDP из LAN.
Dmitry
Сообщения: 3
Зарегистрирован: 26 мар 2019, 06:03

Re: DNS закрыть , кроме необходимых

Сообщение Dmitry »

Добрый день!

В продолжение темы . Нашел я пока решение такого плана . Видимо в моем случае статика это лучший вариант для жесткой экономии расхода трафика . Как и было ранее все DNS input/forward/output , 53 UDP все в drop. В IP-DNS-Static прописал все нужные мне ресурсы ( их всего штук 10 получилось ), IP и URL , поставил галку Allow Remote Request ( без нее не работает ) . т.е. то , что я раннее писал в host файле . Теперь есть доступ и через WiFi с разрешенных мобил . Если на мобилах не нужно открывать ресурсы которые нужны , можно также все в host и оставить все , будет открываться то , что нужно только на ПК .
Все что нужно было разрешить записал в Adr List ( только IP прописал , без URL . т.к. если в нем сейчас можно и URL в новой версии писать , но тогда начинается опять проблема с DNS запросами ), ну и правила forward TCP accept для этого сделал .
Далее была задача сделать WhatsApp через Микротик и спутниковый канал . Вот тут пришлось долго долго .... вычислять через Акулу весь этот трафик , IP и т.д. , итоге все кажется получилось . DNS для него разрешил только используя L7 , только так , другого решения не нашел . Но трафик у меня не большой поэтому думаю нагрузки на проц сильно не будет . Есть еще такой мессенджер для спутниковых каналов BySky называется , его тоже ради интереса запустил , тоже только через L7 DNS запустил . Вот как-то так , пока все работает , в офисе откатал почти , скоро буду на судно на Иридиум ставить ( и Инмарсат ) ставить все это дело .
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: DNS закрыть , кроме необходимых

Сообщение Chupaka »

Dmitry писал(а): 15 апр 2019, 08:31 только IP прописал , без URL . т.к. если в нем сейчас можно и URL в новой версии писать , но тогда начинается опять проблема с DNS запросами
Добрый.
Ну, по идее, должен использоваться локальный DNS для Address List'а, если указывать доменные имена.

Питание от солнечной батареи? :)
Dmitry
Сообщения: 3
Зарегистрирован: 26 мар 2019, 06:03

Re: DNS закрыть , кроме необходимых

Сообщение Dmitry »

В Addr Liste он использует тогда запросы DNS и они летят в спутник .
Питание не , не от солнечной :))) , но трафик жутко дорогой :) , 15 usd 1 Мбайт , вот и приходится зажимать его со всех сторон .
Ответить