Σελ. 2 από 2 ΠρώτηΠρώτη 12
Εμφάνιση 16-27 από 27
  1. #16
    Εγγραφή
    11-08-2003
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    46
    Μηνύματα
    808
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΠΛ. ΔΗΜΟΚΡΑΤΙΑΣ
    Router
    Oxygen
    SNR / Attn
    13,4(dB) / 10(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από jacobp Εμφάνιση μηνυμάτων
    δυστυχώς remote θεωρεί και τον ευατό του!!! Αν για παράδειγμα απενεργοποιήσεις το allow remote requests και βάλεις στο ip/dns την ip του router (192.168.88.1) και κάνεις ένα nslookup θα σου πει δεν βρίσκω dns server... αν το ενεργοποιήσεις θα σου βρει τον 192.168.88.1
    Κουλό αλλά το δοκίμασα και έτσι είναι.
    Το allow remote requests ουσιαστικά διαχωρίζει αν θα σεβαστεί τους dynamic dns ή τους static όπου και αν αυτοί έχουν δηλωθεί.
    Νομίζω κάνεις λάθος.
    Από το help της Mikrotik:
    allow-remote-requests (yes | no; Default: no) Specifies whether to allow network requests

    Επομένως, ισχύει αυτό που λες όταν είναι disabled. Από τον υπολογιστή σου δεν μπορείς να στείλεις DNS queries στο Mikrotik, γιατί είναι ανενεργός ο DNS server του. Χρησιμοποιεί, μόνο το ίδιο, τους external DNS για τον εαυτό του και μόνο.
    Αν επομένως είναι disabled, οι υπολογιστές θα πρέπει να έχουν ορισμένους public DNS, ενώ αν θέλουμε να χρησιμοποιήσουμε το Mikrotik ως DNS server στα PC, είτε για να κάνει resolve σε external IPs, είτε σε internal, θα πρέπει να είναι enabled.

  2. #17
    Εγγραφή
    06-10-2019
    Μηνύματα
    60
    Downloads
    0
    Uploads
    0
    ISP
    Vodafone
    Παράθεση Αρχικό μήνυμα από sxbcl Εμφάνιση μηνυμάτων
    Αυτό γίνεται αρκετά απλά:
    Κώδικας:
    /ip firewall filter
    add action=drop chain=input dst-port=53 in-interface=WAN_interface protocol=udp
    add action=drop chain=input dst-port=53 in-interface=WAN_interface protocol=tcp
    Το default configuration έχει ένα rule στο chain input που κάνει drop all !LAN. Αυτός δεν κόβει και τα tcp udp στην 53 από το wan ή πρέπει να προσθέσω αυτά που μου έγραψες?

    - - - Updated - - -

    Παράθεση Αρχικό μήνυμα από sxbcl Εμφάνιση μηνυμάτων
    Νομίζω κάνεις λάθος.
    Από το help της Mikrotik:
    allow-remote-requests (yes | no; Default: no) Specifies whether to allow network requests

    Επομένως, ισχύει αυτό που λες όταν είναι disabled. Από τον υπολογιστή σου δεν μπορείς να στείλεις DNS queries στο Mikrotik, γιατί είναι ανενεργός ο DNS server του. Χρησιμοποιεί, μόνο το ίδιο, τους external DNS για τον εαυτό του και μόνο.
    Αν επομένως είναι disabled, οι υπολογιστές θα πρέπει να έχουν ορισμένους public DNS, ενώ αν θέλουμε να χρησιμοποιήσουμε το Mikrotik ως DNS server στα PC, είτε για να κάνει resolve σε external IPs, είτε σε internal, θα πρέπει να είναι enabled.
    Το ίδιο λέμε με άλλα λόγια.
    Το allow remote requests είναι ουσιαστικά ένας διακόπτης on off για το αν το MT θα δουλέψει ως dns server ή όχι. Αν off τότε εξαρτάται από τους dynamic dns από τον isp. Αν on τότε κοιτάει ότι έχει οριστεί ως static dns server.

  3. #18
    Εγγραφή
    11-08-2003
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    46
    Μηνύματα
    808
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΠΛ. ΔΗΜΟΚΡΑΤΙΑΣ
    Router
    Oxygen
    SNR / Attn
    13,4(dB) / 10(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από jacobp Εμφάνιση μηνυμάτων
    Το default configuration έχει ένα rule στο chain input που κάνει drop all !LAN. Αυτός δεν κόβει και τα tcp udp στην 53 από το wan ή πρέπει να προσθέσω αυτά που μου έγραψες?
    Εγώ πάντα το χρησιμοποιώ όταν κάνω PPPoE με το MT για να μπορώ να έχω και ανάλυση τι κόβεται. Θεωρητικά νομίζω το drop all !LAN θα πρέπει να το κόβει.
    - - - Updated - - -



    Το ίδιο λέμε με άλλα λόγια.
    Το allow remote requests είναι ουσιαστικά ένας διακόπτης on off για το αν το MT θα δουλέψει ως dns server ή όχι. Αν off τότε εξαρτάται από τους dynamic dns από τον isp. Αν on τότε κοιτάει ότι έχει οριστεί ως static dns server.
    Συμφωνώ. Απλά δεν κατάλαβα που διαφώνησες μαζί μου νωρίτερα! Remote θεωρεί οτιδήποτε εκτός από τον εαυτό του. Και αφού δεν είναι DNS server όταν είναι disabled, δεν ισχύουν τα static DNS entries και δεν τα κοιτάζει.

  4. #19
    Εγγραφή
    06-10-2019
    Μηνύματα
    60
    Downloads
    0
    Uploads
    0
    ISP
    Vodafone
    Καλησπέρα.

    Έχοντας ενεργοποιημένο το allow remote requests και με τους γνωστούς δύο κανόνες στο firewall input να κάνει drop tcp and udp dest port 53 from WAN, έκανα ένα post scan στον router στην 53... wide open την δείχνει...

    δεν μπορώ να καταλάβω τι στο καλό γίνεται...

    add action=accept chain=input connection-state=established,related
    add action=drop chain=input connection-state=invalid
    add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
    add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp

    αυτοί είναι οι πρώτοι 4 κανόνες στον firewall filter.

    Καμιά ιδέα?

  5. #20
    Εγγραφή
    11-08-2003
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    46
    Μηνύματα
    808
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΠΛ. ΔΗΜΟΚΡΑΤΙΑΣ
    Router
    Oxygen
    SNR / Attn
    13,4(dB) / 10(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από jacobp Εμφάνιση μηνυμάτων
    Καλησπέρα.

    Έχοντας ενεργοποιημένο το allow remote requests και με τους γνωστούς δύο κανόνες στο firewall input να κάνει drop tcp and udp dest port 53 from WAN, έκανα ένα post scan στον router στην 53... wide open την δείχνει...

    δεν μπορώ να καταλάβω τι στο καλό γίνεται...

    add action=accept chain=input connection-state=established,related
    add action=drop chain=input connection-state=invalid
    add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
    add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp

    αυτοί είναι οι πρώτοι 4 κανόνες στον firewall filter.

    Καμιά ιδέα?
    Στο interface list WAN έχεις δηλωμένη την PPPoE σύνδεση;
    Επίσης, εγώ έχω τα 2 rules για την πόρτα 53 πριν από τα υπόλοιπα.

  6. #21
    Εγγραφή
    06-10-2019
    Μηνύματα
    60
    Downloads
    0
    Uploads
    0
    ISP
    Vodafone
    ναι στο wan είναι η pppoe.
    Το δοκιμασα να ανεβάσω τα drops του dns πανω πάνω --- τίποτα...

    Κάνε ένα scan με nmap μόνο για την 53 με -sS -sU -Pn -p 53 <IP> και πες μου τι δείχνει

  7. #22
    Εγγραφή
    29-04-2021
    Ηλικία
    40
    Μηνύματα
    1
    Downloads
    0
    Uploads
    0
    ISP
    1&1
    Γιατί δεν απενεργοποιείς το use-peer-dns στον dhcp client του wan interface;

    use-peer-dns (yes | no; Default: yes) Whether to accept the DNS settings advertised by DHCP Server. (Will override the settings put in the /ip dns submenu.

  8. #23
    Εγγραφή
    12-11-2005
    Μηνύματα
    532
    Downloads
    1
    Uploads
    0
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ
    DSLAM
    ΟΤΕ - ΚΑΛΑΜΑΚΙ
    Μπορώ να ορίσω με κάποιον τρόπο πως αν κάποιος γράψει σε κάποιον browser του δικτύου ένα συγκεκριμένο domain, υπάρχει δεν υπάρχει, πχ https://a.gr να μεταφέρεται σε ένα site που θα του ορίσω, πχ google.com/parameters ;
    Θέλω να κάνω debugging στον browser μιας τηλεόρασης και είναι εκνευριστικό κάθε φορά με το remote να "πληκτρολογώ" το πλήρες url, θέλω να γράφω ένα a.gr ξερω γω και να το παίρνει.
    Προσοχή όμως, δεν θέλω να πειράξω τις υπόλοιπες λειτουργίες dns, μόνο αυτό. Ούτε θέλω να μου κάνει redirect σε IP, αλλά σε hostname.

  9. #24
    Εγγραφή
    31-05-2007
    Ηλικία
    53
    Μηνύματα
    3.884
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    110000/11000
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΤΕΡΨΙΘΕΑ
    Router
    Fritz!Box 7590
    Παράθεση Αρχικό μήνυμα από dmitspan Εμφάνιση μηνυμάτων
    Μπορώ να ορίσω με κάποιον τρόπο πως αν κάποιος γράψει σε κάποιον browser του δικτύου ένα συγκεκριμένο domain, υπάρχει δεν υπάρχει, πχ https://a.gr να μεταφέρεται σε ένα site που θα του ορίσω, πχ google.com/parameters ;
    Φαντάζομαι, εφόσον ερωτάται ο dns του mtik,
    αν κάνεις ένα A/ΑΑΑ record να αντιστοιχήσεις τo a.gr με την όποια ip του host που θες να στείλεις την κίνηση,
    θα παίξει όσο δεν είναι secure connection.
    Αν είναι secure, απλώς δεν γίνεται.
    Disclaimer:
    Any views or opinions expressed represent the official view of the voices in my head.

  10. #25
    Εγγραφή
    12-11-2005
    Μηνύματα
    532
    Downloads
    1
    Uploads
    0
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ
    DSLAM
    ΟΤΕ - ΚΑΛΑΜΑΚΙ
    Δεν θέλω να το κατευθύνω σε άλλη IP αλλά σε άλλο url.

  11. #26
    Εγγραφή
    31-05-2007
    Ηλικία
    53
    Μηνύματα
    3.884
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    110000/11000
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΤΕΡΨΙΘΕΑ
    Router
    Fritz!Box 7590
    Παράθεση Αρχικό μήνυμα από dmitspan Εμφάνιση μηνυμάτων
    Δεν θέλω να το κατευθύνω σε άλλη IP αλλά σε άλλο url.
    Ναι, αλλά δυστυχώς ο όποιος dns δεν ξέρει απο url και http, απο ip και name records ξέρει.
    Το proper-redirect γίνεται στο app layer.
    Ο σωστός τρόπος να το κάνεις θα ήταν να έχεις πρόσβαση στο a.com και να κάνεις ένα redirect εκεί,
    ή θα μπορούσες να στείλεις την κίνηση σε έναν δικό σου web server και να κάνεις το redirect εκεί.

    Με τον όποιο dns, το μόνο που μπορείς να κάνεις είναι να αλλάξεις την απάντηση που αυτός θα δώσει
    όταν θα ερωτηθεί για την ip του a.com

    Οπότε, ας πούμε:

    a.com A record: x.x.x.x
    google.com/parameters A record: b.b.b.b

    Αν ρυθμίσεις τον dns όταν ερωτάται για το a.com να επιστρέφει A record b.b.b.b,
    ο x host που ρωτάει για το a.com θα προσπαθήσει να επικοινωνήσει με την σελίδα/υπηρεσία που τρέχει στο b.b.b.b

    Αν θα παίξει εξαρτάται, αν είναι secure οπωσδήποτε όχι.
    Disclaimer:
    Any views or opinions expressed represent the official view of the voices in my head.

  12. #27
    Εγγραφή
    12-11-2005
    Μηνύματα
    532
    Downloads
    1
    Uploads
    0
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ
    DSLAM
    ΟΤΕ - ΚΑΛΑΜΑΚΙ
    Κάπως έτσι το έκανα τελικά
    Έφτιαξα το a record που ήθελα και όρισα την IP του web server.
    Πήγα στον web server και πρόσθεσα parked domain το a.gr
    Και δούλεψε.
    Δεν θα μπορούσε να δουλέψει βέβαια αν δεν είχα πρόσβαση στον production web server.

Σελ. 2 από 2 ΠρώτηΠρώτη 12

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας