classic.ISPforum.cz

Prosím někoho jestli by mě neporadil jak udělat pravidlo ve firawallu na to aby veškeré požadavky na DNSka které jdou od klientů byly natvrdo přesměrovávány na jinej DNS server. Jde mi o to abych nemusel na klientských routerech měnit nastavení DNSek.
Jak to provést? pravidlo forward? Prosím o nakopnutí.
Musí to pravidlo být na samém začátku fireawallu? No to už bych kdyžtak zkusil posunout sám

Zajímavý nápad... ale DNS je asi lepší nastavit - je to tak nějak standart.. ne?
Každopádně pokud ti to pojede tak se pochlub!

StoupaLutin píše:Zajímavý nápad... ale DNS je asi lepší nastavit - je to tak nějak standart.. ne?
Každopádně pokud ti to pojede tak se pochlub!

Můj ISP to takto udělal. Můžu si v DNS nastavit na počítačích co chci. třeba nesmylsly a jede to.

Prostě UDP port 53 směrovat na nějakou IP s jiným DNS. To bych potřeboval udělat. Nikdo neví?

soucez píše:

StoupaLutin píše:Zajímavý nápad... ale DNS je asi lepší nastavit - je to tak nějak standart.. ne?
Každopádně pokud ti to pojede tak se pochlub!

Můj ISP to takto udělal. Můžu si v DNS nastavit na počítačích co chci. třeba nesmylsly a jede to.

Prostě UDP port 53 směrovat na nějakou IP s jiným DNS. To bych potřeboval udělat. Nikdo neví?

..ja osobne bych pouzil NAT...

sub_zero píše:

soucez píše:

StoupaLutin píše:Zajímavý nápad... ale DNS je asi lepší nastavit - je to tak nějak standart.. ne?
Každopádně pokud ti to pojede tak se pochlub!

Můj ISP to takto udělal. Můžu si v DNS nastavit na počítačích co chci. třeba nesmylsly a jede to.

Prostě UDP port 53 směrovat na nějakou IP s jiným DNS. To bych potřeboval udělat. Nikdo neví?

..ja osobne bych pouzil NAT...

Počkej NAT, myslíš srcNat? nebo jak?

soucez píše:

sub_zero píše:

soucez píše:

StoupaLutin píše:Zajímavý nápad... ale DNS je asi lepší nastavit - je to tak nějak standart.. ne?
Každopádně pokud ti to pojede tak se pochlub!

Můj ISP to takto udělal. Můžu si v DNS nastavit na počítačích co chci. třeba nesmylsly a jede to.

Prostě UDP port 53 směrovat na nějakou IP s jiným DNS. To bych potřeboval udělat. Nikdo neví?

..ja osobne bych pouzil NAT...

Počkej NAT, myslíš srcNat? nebo jak?

...tak cti, co jsi napsal:

jak udělat pravidlo ve firawallu na to aby veškeré požadavky na DNSka které jdou od klientů byly natvrdo přesměrovávány na jinej DNS server

chapu to tak, ze vsechny DNS pozadavky z Tve vnitrni site, chces forwardovat k Tvemu ISP na DNS.

sub_zero píše:

soucez píše:

sub_zero píše:

soucez píše:

StoupaLutin píše:Zajímavý nápad... ale DNS je asi lepší nastavit - je to tak nějak standart.. ne?
Každopádně pokud ti to pojede tak se pochlub!

Můj ISP to takto udělal. Můžu si v DNS nastavit na počítačích co chci. třeba nesmylsly a jede to.

Prostě UDP port 53 směrovat na nějakou IP s jiným DNS. To bych potřeboval udělat. Nikdo neví?

..ja osobne bych pouzil NAT...

Počkej NAT, myslíš srcNat? nebo jak?

...tak cti, co jsi napsal:

jak udělat pravidlo ve firawallu na to aby veškeré požadavky na DNSka které jdou od klientů byly natvrdo přesměrovávány na jinej DNS server

chapu to tak, ze vsechny DNS pozadavky z Tve vnitrni site, chces forwardovat k Tvemu ISP na DNS.

Ano přesně, jakýkoliv DNS požadavek čili UDP port 53 směrovat na nějakou IP kde valí DNS

/ ip firewall nat
add chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="proxy for DNS requests"

alebo bez connection mark

add chain=dstnat in-interface=!wan protocol=udp dst-port=53 action=redirect to-ports=53 comment="dns-proxy" disabled=no

soucez píše:
Ano přesně, jakýkoliv DNS požadavek čili UDP port 53 směrovat na nějakou IP kde valí DNS

Předně jedna výtka PÁNOVÉ , když už používáte citaci, tak VÁS prosím, aby jste použili pouze jednu...tzn tu předchozí na kterou reagujete. Zbytek prosím vymažte. Je to jinak strašně nepřehledné. Příkladem je to, co mám teï já nad tímto textem.

Jinak, lze to udelat obycejnym dst-natem. Nic na tom neni. Uplne stejne nastaveni jako presmerovani portu. Já to tak mám, protoze puvodni poskytovatel zmenil sve rozsahy IP adres(prvni zmena) a ted, kdyz jsem zase menil poskytovatele(druha zmena). A protoze se mi nechtelo obihat cca 60 lidi, kteri nejsou schopni si to udelat sami tak jsem udelal pouze dst-nat a bylo. Mimo to uz se mi nechce pamatovat pokazde jine DNSka, tak praskam pouze jedny a na mikrotiku pouze presmerovavam. Mimochodem delam dst-nat pouze na sekundarni DNS, ale urcite to bude fungovat i s primarnim.

dodatek: Mam to jinak nez fujara, ktery me predbehl

chain=dstnat in-interface=LAN dst-address=aa.bb.cc.dd protocol=udp dst-port=53 action=dstnat to-addresses=ee.ff.gg.hh to-ports=53

jde to i takto:

chain=dstnat in-interface=LAN protocol=udp dst-port=53 action=dstnat to-addresses=ee.ff.gg.hh to-ports=53

jde to i takto:

chain=dstnat in-interface=LAN protocol=udp dst-port=53 action=dstnat to-addresses=ee.ff.gg.hh to-ports=53[/quote]

Díky vypadá že to funguje. Díky moc.

Tohle:

add chain=dstnat in-interface=!wan protocol=udp dst-port=53 action=redirect to-ports=53 comment="dns-proxy" disabled=no

není přesměrování DNS dotazů na jný server, ale jejich předání přímo tomu MT. Ale dá se to tak samozřejmě taky použít. Dokonce to má některé výhody. Jednak by mohlo být vyřízení dotazů díky cache v MT rychlejší a druhak si můžete přidávat vlastní statické DNS záznamy (to se hodí v případě, že nemáte vlastní DNS server). Je ovšem samozřejmě třeba mít na MT správně nastavené DNS a povolené vyřizování vzdálených dotazů.

A nevedeli byste proc mi tohle nefacha?



Ten paket na 10.38.8.1 vubec nedorazi, ale bajty na MK se pricitaj. Nemuze tomu vadit, ze je MK na stejny ethernetovy siti jako 10.38.8.1 a ja to zkousim z 10.38.8.2 ?

Nevím jak to máš adresované, ale předpokládám, že stroj 10.38.8.1 je na stejným ifacu ze kterého přijde požadavek na 10.38.8.6. V tom případě musíš udělat i src-nat, protože jinak 10.38.8.1 odpovídá přímo, ale ten kdo vyslal požadavek očekává odpověï od 10.38.8.6.

Kurnik ja jsem vul, co se nejdriv pta nez aby se trochu zamyslel nad tim co pise.. diky