+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

DNS-кеш.

DNS-кеш., RouterOS

yancho Guest	#1 0 04.11.2004 22:10:00 Как предотвратить засорение DNS-кэша вот таким мусором: 42 N 55.63.26.10.in-addr.arpa 6d18h5m32s 43 N 133.76.169.10.in-addr.arpa 6d18h5m32s 43 N 133.228.18.10.in-addr.arpa 6d18h5m33s … 2075 N 102.89.109.10.in-addr.arpa 6d20h31m4s 2076 N 253.243.179.10.in-addr.arpa 6d20h31m5s 2077 N 201.64.87.10.in-addr.arpa 6d20h31m5s …

cmit

Guest

05.11.2004 08:29:00

Выйти из этого, похоже, не получится (кроме как отключить DNS-кеш полностью). Те записи, которые вы привели, — так называемые обратные DNS-записи (PTR-записи в DNS). Они используются для того, чтобы узнать DNS-имя для заданного IP-адреса. Пример: "Какое имя принадлежит адресу 159.148.147.196?" => ответ: " mikrotik.com ". Обратная DNS-запись для этого адреса выглядит как 196.147.137.159.in-addr.arpa (то есть IP-адрес с перевернутыми октетами и добавлением ".in-addr.arpa").

yancho

Guest

05.11.2004 10:54:00

Почему весь кэш забит записями из несуществующей сети? Моя локальная сеть 10.0.0.0/24, но большая часть записей в кэше – из подсети 10.0.0.0/8 и помечена как неизвестный тип! Мне кажется, это ненормально. Может, какой-то компьютер заражён вирусом или… не знаю, что ещё.

gianluca

Guest

06.11.2004 08:26:00

У меня снова проблема с сетевым кэшем, он вообще не работает. Если у моего локального интерфейса IP-адрес 192.168.1.1, я ставлю этот IP на клиентский ПК, и нет никакой возможности просматривать интернет. Но если я ставлю DNS на клиентском ПК, то всё работает отлично. Моя конфигурация: primary-dns=194.179.1.100 secondary-dns=0.0.0.0 allow-remote-requests=yes cache-size=“2048 kB” cache-max-ttl=7d, и, конечно, в кэше вообще нет записей… Я начинаю сходить с ума, потому что не вижу проблему.

GJS Guest	#5 0 06.11.2004 12:59:00 Думаю, тебе нужно перенаправлять ARP-запросы в кэш. Попробуй настроить правило файрвола для таблицы входящих для номера порта DNS. Guy

gianluca Guest	#6 0 06.11.2004 14:54:00 Не могли бы вы подсказать, как это сделать?

GJS

Guest

06.11.2004 15:24:00

Прости, это не правило брандмауэра для входящих подключений, это правило преобразования адреса назначения (destination NAT): [admin@pad001X] ip firewall dst-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 X ;;; Перенаправляет все DNS-запросы на локальный DNS-кэш dst-address=:53 protocol=udp action=redirect Однако, я не уверен, что это перехватит весь DNS-трафик, так как DNS иногда может использовать TCP. Может, кто-нибудь другой подскажет, какое лучше правило использовать? Guy

andrewluck Guest	#8 0 06.11.2004 15:31:00 Тебе нужна настройка, которая позволит DNS-ответам возвращаться в роутер. Они будут проходить по цепочке Input, поэтому: ip firewall rule input> in-interface=Internet connection-state=established action=accept. Это позволит всем соединениям, которые начинаются из роутера, вернуться обратно. Однако, прочитав это в своей конфигурации роутера, я понял, что это неэффективно, так как роутер сначала будет пытаться использовать UDP. Лучше использовать правило Input, которое разрешает UDP-пакеты с портом источника 53. Ты можешь ещё больше ужесточить это, принимая только пакеты от DNS-серверов твоего провайдера. ip firewall rule input> src-address=:53 in-interface=Internet protocol=udp action=accept.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры