[Mikrotik] [Help] Force DNS

[Ewerton H Marschalk]

Olá, será que alguém poderia me tirar umas duvidas a respeito de redirecionamento com Mikrotik? é a primeira vez que estou usando mikrotik para alguma coisa, e estou tendo algumas dificuldades.
 

Primeiro, vou explicar o que estou tentando fazer.

Tenho um servidor com o NxFilter instalado, NxFilter é um programa de bloqueio e monitoramento via DNS, com ele consigo bloquear qualquer site ou programa que use a internet de forma simples. Porém os usuarios precisam estar usando o ip do servidor como DNS. se o usuario fixar outro dns ja sai fora do bloqueio.

Então, a ideia é fazer com que o mikrotik redirecione os requerimentos na porta 53 para o servidor DNS, assim, mesmo que o dns fixo dele seja o google, vai ir parar no servidor
ao mesmo tempo, o servidor não pode ser redirecionado para ele mesmo, pois precisa acessar servidores DNS externos, ele funciona como um gateway de DSN, filtrando o que ele quer, o que não está nos filtros ele joga para outros servidores DNS que eu mesmo defino.

tentei fazer com regras NAT, da seguinte maneira:
Fiz duas regras NAT, uma para Bloquear toda a rede, e uma para liberar o servidor.

 

A do servidor ficou da seguinte maneira:

(MAC da placa do servidor)

 

pelo que eu entendo, as requesições na porta 53 UDP do MAC que eu especifiquei, serão ACEITAS.

e fiz a regra para redirecionar o restante da rede para o servidor:

pelo que eu entendo, essa regra deveria redirecionar todos os requerimentos udp porta 53 para o IP do servidor.

Com essas configurações, o servidor consegue acessar servidores DNS externos normalmente, os outros pcs, não conseguem acessar site algum, porém, se eu fixar o dns do servidor nos outros computadores, eles acessam outros sites (e o bloqueio funciona) normalmente, então o problema não é com o servidor.

o que eu fiz de errado?

segue abaixo o LOG:

[Cadu Campos]

Olá amigo,

 

Remove o src.MAC address e adiciona nesta regra na primeira aba em dst. address o bloco da tua rede... acredito que estas usando 192.168.88.0/24.

 

que a regra vai ficar assim

 

Toda requisição de dns da rede 192.168.88.0/28 será redirecionada para o ip 192.168.88.253:53.

 

Att.

[Ewerton H Marschalk]

ai que está, o servidor está no mesmo bloco de rede, e ele não pode ser redirecionado para ele mesmo...
como eu faço para redirecionar toda a rede MENOS o servidor?

[Cadu Campos]

Tem razão, esqueci que está no mesmo ranger... então a regra vai ser o seguinte... em dst.address você vai marcar o checkbox e adicionar o ip do servidor 192.168.88.253...

Nisto, a mikrotik vai ler assim.

 

redirecionar o dns de tudo menos o ip 192.168.88.253 para o ip 192.168.88.253:53...

 

lembrando que, caso você tenha mais de um ranger, porém só quer atingir um você vai ter que criar outra regra abaixo desta para atingir o bloco...

 

 

att

[Ewerton H Marschalk]

então a quela caixa do lado, serve para excluir algo da regra? por exemplo se eu colocar um mac la no src, e marcar a caixa, vai funcionar pra todos os pcs menos a quele ?
se sim, isso vai facilitar muito minha vida =D

[Cadu Campos]

Sim, este checkbox significa NOT, ou em linha de comando em firewall de linux é o "!"

[Ewerton H Marschalk]

valeu pela dica do "NOT", mas ainda não está funcionando, ja não sei se é o servidor ou o mikrotik, vou dar mais uma verificada no servidor.
quando deixo o dns do google no pc client, o pc fica completamente sem internet, já, quando deixo o dns do servidor, funciona numa boa, segue abaixo os prints, se tiver alguma ideia do que mais eu deveria verificar, em quanto isso vou verificar o servidor...

com o dns do google:

 

com o servidor sendo usado como dns:

(detalhe que o uol está bloqueado, por isso o ping vai parar no servidor)

e o log:


pelo log me parece que está funcionando :/

[Cadu Campos]

Uma pequena pergunta... este servidor é somente para fazer este bloqueio, ou ele está sendo usado pra outras afinidades? Se for... a mikrotik pode realizar este bloqueio de sites se você quiser...

Acredito eu... que está sua regra que bloqueia toda a rede, é que está bloqueando quando coloca o dns diferente.

[Ewerton H Marschalk]

O NxFilter tem mais funções, a principal é bloqueio e filtragem de sites, mas por ele eu tb consigo bloquear programas (torrent, tor, etc), fazer um monitoramento por usuário, fazer um controle diversificado pra cada usuário... além de ser bem simples de configurar, o único problema que o pc TEM que passar pelo dns do servidor pra isso tudo funcionar, ai é só qualquer espertinho mudar o DNS e pronto, acessa tudo o que quiser... postei o meu problema no forum do nxfilter tb, vamos ver se alguém la me da uma luz ...
fiz um teste ontem, coloquei o servidor numa camada mais acima da rede, fora do masquerade NAT do mikrotik, e funcionou certinho, porém o nxfilter reconhece tudo como 1 ip só, ai não vai dar pra vincular os usuarios do nxfilter a um determinado ip, em ultimos casos posso fazer por autenticação (login e senha)... mas ainda vou testando, é meu servidor de testes mesmo...

[Cadu Campos]

Massa, posta ai pois me interesso na solução e aprender mais!

[rafaelvitors2]

Alguém me ajuda,quando pressiono a tecla option (alt) do macbook air,aparece um cadeado na tela pedindo senha,más que senha é esta????????

[Ewerton H Marschalk]

@rafaelvitors2 creio que você está na area errada, crie um post descrevendo o problema na area relacionada a Mac.

@Cadu Campos problema resolvido, era isso: http://wiki.mikrotik.com/wiki/Hairpin_NAT
o servidor nxfilter respondia o pc client diretamente, quando o pc client estava esperando uma resposta externa, ai o client ignorava a resposta.