Ping na MK verze 6.xx

[Robotvor]

S některých routerů které běží na MK verzi 6.xx nejde ping na seznam, nix atd..... dns mame zadane. Neporadí někdo kde je zakopaný pes?


[0.0.0.0] > ping seznam.cz
invalid value for argument address:
invalid value of mac-address, mac address required
invalid value for argument ipv6-address
while resolving ip-address: could not get answer from dns server

[Robotvor]

Nikdo neví?

[ludvik]

Asi to ostatním funguje Teď jsem ping dle DNS zkusil na 6.11

[ludek]

Přidej si do firewallu toto pravidlo:

Kód: Vybrat vše

ip firewall filter add  chain=input action=accept protocol=udp src-address=<IP DNS serveru> in-interface=<WAN rozhraní> src-port=53

Nezapomeň patřičně upravit a dát před drop/reject.

[ludvik]

Správnější je mít na začátku:

Kód: Vybrat vše

add action=accept chain=input connection-state=established disabled=no
add action=accept chain=input connection-state=related disabled=no


Za tím pravidla s povolenými službami (co povoluji z venku)... a jako poslední DROP na všechno ostatní (nebo REJECT, to záleží na světonázoru autora). Pak není nic odchozího z routeru omezováno (v pravidlech OUTPUT nevidím moc smyslu, předpokládám, že tam je povolené vše).

[ludek]

Správnější je mít na začátku:

Kód: Vybrat vše

add action=accept chain=input connection-state=established disabled=no
add action=accept chain=input connection-state=related disabled=no


Za tím pravidla s povolenými službami (co povoluji z venku)... a jako poslední DROP na všechno ostatní (nebo REJECT, to záleží na světonázoru autora). Pak není nic odchozího z routeru omezováno (v pravidlech OUTPUT nevidím moc smyslu, předpokládám, že tam je povolené vše).

Správnější? Copak to co píšeš nějak odporuje tomu co jsem napsal?
Důležité je, že musí ve firewallu povolit komunikaci s DNS serverem. Co tam je dál již neřeší jeho problém.

edit: Abych lépe vysvětlil moji myšlenku. Poslal jsem pravidlo co pokud možno nejlépe popisuje v čem má problém. Neřešil jsem ideální konfiguraci, jak se to dělá "nejlépe/správně".

[ludvik]

Jo ... změní se DNS a zase bude hledat problém. Okecávat začátečníkům dobré zvyky se nevyplácí.

Proto Stavový firewall, protože ví o stavu spojení. Takže pokud mám ošetřené, že to co už jede, to není zablokované, nejsem vázán povinností si povolovat, na které servery můžu (což v podstatě tvoje pravidlo dělá). Mým řešením obsáhnu naprosto vše, jelikož komunikaci toho routeru samotného neomezuji.

Druhé pěkné pravidlo je - omezovat na straně, kde to má logický smysl. Takže když už bych chtěl omezovat odchozí provoz, dělám to na OUTPUTu.

A správnější to je (když už se chceš hádat) proto, že nejenom UDP používá DNS ... ale i TCP. A čímdál častěji, neboť DNSSEC ty odpovědi dost natahuje.
Takže jsi mu poradil v podstatě dva řádky, jako já ... ale to moje je univerzální (a kratší na psaní). Pro všechny služby, co by mohl chtít ...

Stejně to je bezpředmětné, neboť neznáme stav jeho firewallu.

[Robotvor]

Není problém udělat demo účty pro nahlídnutí když tak SZ pokud jste ochotni mrknout a poradit co by šlo udělat jinak a lépe.

[jirk]

Zdravím

Mám podobný problém s DNS jako autor v úvodním příspěvku:
Pri pingu na www.mbank.cz se vypisuje:

[xxx@xxx] > ping www.mbank.cz
invalid value for argument address:
invalid value of mac-address, mac ad
invalid value for argument ipv6-addr
while resolving ip-address: could no


Přitom ostatní adresy překládá DNS server mikrotiku vpořádku.
Nějaká Idea, kde je chyba?
Zkoušel jsem v PC nastavit DNS Google, ale i tak mi to nevrátí na www.mbank.cz žádnou IP adresu.

Díky

[ludvik]

Kdybys nezmínil ten google, tak řeknu, že nemáš dostupnou IP 157.25.5.2 (tam mají autoritativní DNS ...). Ale jelikož jsi zmínil, tak odpovím, že Google toto jméno překládá správně.

[jirk]

Vyreseno. Chyba byla na strane poskytovatele. Jestli jsem ho dobre pochopil, tak adresy sveho dns a dns google jeste prekladal na jine adresy. Nevim přesně. Diky i tak.