Кэш DNS на Mikrotik. Отслеживание и блокировка сайтов.
Итак, для начала давайте посмотрим, куда шуршат шаловливые ручки пользователей. Чем они занимаются на своих рабочих местах? Роутеры Mikrotik помимо снятия дампа трафика с последующим копанием в нем посредством какого-нибудь инструмента вроде Wireshark имеют еще одну возможность для проверки, куда любят ходить юзеры.
Для этого следуем в меню IP > DNS и кликаем на кнопку Cache:
Та-а-к, есть что-нибудь интересное? Ага!..
Какой-то товарищ решил завязать знакомство в рабочее время. Проведем следующие действия.
Всё там же, находясь в окне IP > DNS тыкаем на кнопку Static, где очень несложным образом создается статическая DNS-запись следующего вида:
Теперь при попытке зайти на Мамбу пользователь будет лицезреть что-то вроде этого:
Стоит отметить, что для пущего эффекта нужно добавить статические записи для домена с добавлением www., а также как в нашем случае для ns1. и всё. Теперь стандартный бухгалтер не пройдет через эту непроходимую стену.
Важно! Теперь мы попросту резолвим домен в локальный адрес машины, но по IP на сайт зайти всё еще без проблем можно. Также ничего не мешает юзеру заходить на свежезаблокированный сайт, если в кэше DNS его ПК осталась "живая" запись с реальным IP. Опять таки, если пользователь использует адрес DNS не роутера, а кастом вроде Google DNS, то ему наша статическая запись не повредит абсолютно. Тут потребуется перенаправление трафика по 53 порту, которое переадресует запросы к 8.8.8.8 на 192.168.1.1, о чем я уже писал в статье о NAT на Микротик.
Для этого следуем в меню IP > DNS и кликаем на кнопку Cache:
Та-а-к, есть что-нибудь интересное? Ага!..
Какой-то товарищ решил завязать знакомство в рабочее время. Проведем следующие действия.
Всё там же, находясь в окне IP > DNS тыкаем на кнопку Static, где очень несложным образом создается статическая DNS-запись следующего вида:
Теперь при попытке зайти на Мамбу пользователь будет лицезреть что-то вроде этого:
Стоит отметить, что для пущего эффекта нужно добавить статические записи для домена с добавлением www., а также как в нашем случае для ns1. и всё. Теперь стандартный бухгалтер не пройдет через эту непроходимую стену.
Важно! Теперь мы попросту резолвим домен в локальный адрес машины, но по IP на сайт зайти всё еще без проблем можно. Также ничего не мешает юзеру заходить на свежезаблокированный сайт, если в кэше DNS его ПК осталась "живая" запись с реальным IP. Опять таки, если пользователь использует адрес DNS не роутера, а кастом вроде Google DNS, то ему наша статическая запись не повредит абсолютно. Тут потребуется перенаправление трафика по 53 порту, которое переадресует запросы к 8.8.8.8 на 192.168.1.1, о чем я уже писал в статье о NAT на Микротик.
