[研究所] MikroTik RouterOS 學習 (持續更新) (第410頁)

ba2001

ba2001
個人積分：0分
文章編號：57954853

0分

4091樓

2015-10-26 8:47

直接接數據機的端口收到來至區網的封包 , 算正常嘛?

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：57959654

79分

4092樓

2015-10-26 16:15

請問有辦法這樣嗎:
192.168.0.1 - 192.168.0.100 -> DNS server 8.8.8.8
192.168.0.101 - 192.168.0.254 -> DNS server 114.114.114.114

b325019

b325019
個人積分：5分
文章編號：57960863

5分

4093樓

2015-10-26 18:09

測了一個周末之後放棄iSCSI了就CF卡直接下去跟他賭壽命
如果CF能撐過兩年不死那我就45美金送他重買授權
測了之後ID應該是即時產生的我用dd複製資料到另一張卡上面開機之後看他ID會變
然後設定iSCSI開機到讀取系統那邊就卡住了，感覺是系統沒有內建iSCSI所以死在那邊(PXE有正確啟動可是無法讀取檔案)
還是說他PXE方式不太一樣?

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：57963294

664分

4094樓

2015-10-26 23:10

chrisintaipei wrote:
請問有辦法這樣嗎:
192.168.0.1 - 192.168.0.100 -> DNS server 8.8.8.8
192.168.0.101 - 192.168.0.254 -> DNS server 114.114.114.114

在RouterOS中的DHCP Server內的Networks設定

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：57963511

79分

4095樓

2015-10-26 23:34

Mason.Lyu wrote:
在RouterOS中的DHCP Server內的Networks設定

DHCP / Networks / address 192.168.0.1~192.168.0.100 -> 8.8.8.8

DHCP / Networks / address 192.168.0.101~192.168.0.254 -> 114.114.114.144

類似這樣嗎?但 address 只能輸入單個或 192.168.0.0/24 這樣，同網段沒法切開?

pctine

pctine
個人積分：5084分
文章編號：57964511

5084分

樓主

2015-10-27 5:34

chrisintaipei wrote:
請問有辦法這樣嗎:
192.168.0.1 - 192.168.0.100 -> DNS server 8.8.8.8
192.168.0.101 - 192.168.0.254 -> DNS server 114.114.114.114..(恕刪)

直接 redirect. 不過我想你要問的不是這個. 但目的達到了.

Force users to use specified DNS server
This is just simple firewall rule which will force all Your users behind RB to use DNS server which You will define.

In /ip firewall nat

add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53
This rule will force all users with custom defined DNS server to use 192.168.88.1 as their DNS server, this rule will simply redirect all request sent to ANY-IP:53 to 192.168.88.1:53

FB: Pctine

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：57964906

664分

4097樓

2015-10-27 8:33

chrisintaipei wrote:
類似這樣嗎?但 address 只能輸入單個或 192.168.0.0/24 這樣，同網段沒法切開?

以下只有一個網段，192.168.0.0/24，但192.168.0.1 ~ 192.168.0.127取得8.8.8.8為DNS Server，而192.168.0.128 ~ 192.168.0.254取的114.114.114.114為DNS Server

/ip dhcp-server network
add address=192.168.0.0/25 dns-server=8.8.8.8 gateway=192.168.0.1
add address=192.168.0.128/25 dns-server=114.114.114.114 gateway=192.168.0.1

top100011

top100011
個人積分：1982分
文章編號：57965348

1982分

4098樓

2015-10-27 9:26

請問各位大大，最近發現有被 DNS 攻擊，但本身我有台主機(192.168.11.100)有做 DNS 伺服器
如果以下列指令做防護的話，會影響到我 DNS 伺服主機運作嗎？
煩請大大幫我確認下，還是有更好的防護方式呢？

/ip firewall filter
add action=drop chain=input comment="DNS Query" dst-port=53 protocol=udp \
src-address=!192.168.11.0/24

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：57966038

79分

4099樓

2015-10-27 10:32

Mason.Lyu wrote:
/ip dhcp-server network
add address=192.168.0.0/25 dns-server=8.8.8.8 gateway=192.168.0.1
add address=192.168.0.128/25 dns-server=114.114.114.114 gateway=192.168.0.1

之前沒打 .128, 數字隨便打，所以不行 :P 現在試出來了，非常感謝~~

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：57966866

664分

4100樓

2015-10-27 11:43

top100011 wrote:
請問各位大大，最近發現有被 DNS 攻擊，但本身我有台主機(192.168.11.100)有做 DNS 伺服器
如果以下列指令做防護的話，會影響到我 DNS 伺服主機運作嗎？
煩請大大幫我確認下，還是有更好的防護方式呢？

這是兩件事。你的 DNS Server (192.168.11.100)看樣子應該是給LAN用的，沒有對外提供服務的話(Port Mapping)，不用擔心這一台DNS Server被攻擊。至於你的router，本來就建議在firewall設定那邊，加上

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=udp

阻擋掉所有來自 Internet 的DNS查詢