Tohle bohuzel neni realne, tech uzivatelu je fakt hodne a hlavne se to meni v case dosti zivelne. Co me na cele veci rozciluje nejvic je fakt, ze se ty domaci routery prave tvari tak, jako kdyby na nich ten dns server bezel, on se tvari jako otevreny resolver a tak pretezuje nas dns server, ktery je otevren jen pro nase zakazniky. Vubec nechapu, proc na ty dotazy zvenci reaguji - jedno byl mikrotik, ktery jsem videl, posledni verze RouterOS a neprisel jsem na to, jak tomu chovani zabranit (dnes jeste zkusi kolega na nem poladit firewall, ale to je reseni, ktere proste 90 % uzivatelu resit nebude). Druhy byl TP-Link nejak defaultne nastaveny, tam opet je asi jedina cesta nejak zmenit pravidla, at jsme klikali ohledne dns co chcteli, nic nepomohlo. Ale pres FW je to reseni, ktereho u vetsiny uzivatelu nedosahnu - ti prinesou router z obchodu, vybali, naklikaji pres wizard podle navodu a konec...
Co se mikrotiků týče tak proto mají v defaultním nastavení pravidlo které zahazuje veškerý, zevnitř nevyvolaný, příchozí provoz. Jinak taky jsem se dlouho potýkal s tím že naše primární DNS přetěžovaly dotazy z nezabezpečených routerů. Filtrace příchozch udp:53 paketů je rozumná pokud je valná část připojených domácích uživatelů. Business klientelu je vždy třeba řešit iddividuálně a být v kontaktu s jejich IT. Jednoduché pravidlo pro filtraci příchozích udp:53 paketů na mikrotiku je: /ip firewall filter add action=drop chain=input comment="Blokace DNS" disabled=no dst-address=<venkovní IP pool> dst-port=53 protocol=udp Přeji hodně štěstí -- Ladislav Kohout DiS mobil: 606 787 923 ICQ: 210-192-640 -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
