Portál AbcLinuxu, 8. května 2025 00:48
Řešení dotazu:
chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=53 protocol=udp in-interface=pppoe-out1 dst-port=53 log=no log-prefix=""Pripojil som sa mobilom z WAN (v mobile mam apku dns changer) zmenil som si DNS na IP mikrotiku. Vidim v NAT ako mobil komunikuje s MK na porte 53 prichadzaju pakety, ale web na 192.168.1.3 nedokazem otvorit. Niekde bude este pes zakopany
servers: 8.8.8.8,8.8.4.4
dynamic-servers:
allow-remote-requests: yes
max-udp-packet-size: 512
query-server-timeout: 2s
query-total-timeout: 10s
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 401KiB + staticke zaznamy
Ja mam vsak v LAN jednu domenu (napr. www.janko-hrasko.sk) ak som v LAN a zadam www.janko-hrasko.sk, tak to samozrejme normalne funguje, vdaka statickemu DNS zaznamu v mikrotiku. Ja vsak potrebujem, aby mi www.janko-hrasko.sk fungovalo aj z vonka (ak som mimo LAN) a preto potrebujem ten vlastny DNS aby mi to prekladalo tie zaznamy, ktore mam ulozene v MK.Tak jsme se konečně dostali k tomu, co chcete. Tu doménu
janko-hrasko.sk si musíte zaregistrovat u registrátora pro doménu .sk. Registrátor vám zároveň poskytne své DNS servery (je to podstatně lepší, než mít DNS server na svém routeru). Na tom DNS serveru registrátora si pak nastavíte A záznam pro jméno www.janko-hrasko.sk, který bude směřovat na veřejnou IP adresu toho vašeho routeru.
Nepiste mi odpovede typu, pouzi vpn (toto uz pouzivam) alebo zaregistruj si normalnu domenu a hostovat mozes u seba a pod ....Ale vždyť to chcete, zaregistrovat si normální doménu. Na to, abyste kdekoli z venku překládala ta vaše doména, vůbec nepotřebujete svůj vlastní DNS server, ale potřebujete k tomu registrovat si tu doménu. Protože když někdo zadá tu vaši adresu, musí vědět, kterého serveru se na ní má zeptat – a to se zařídí právě tou registrací domény.
Vy ma stale nerozumiete (resp. rozumiete, ale stale si pisete to svoje).Ne, nerozumím vám. V dotazu jste vůbec nenapsal, co chcete, teprve teď to z vás pomalu leze.
Ja nechcem nic viac a nic menej. Napr. domena janko-hrasko.sk oficialne neexistuje (nikde nie je registrovana), ale v mojej LAN existuje a ak by som pouzil moj vlastny DNS (ten na mikrotiku) teda verejnu IP adresu routeru, tak ocakavam, ze ak budem vonka (WAN) a nastavim si v PC DNS adresu mojho routeru, ze mi ju prelozi a ja konecne uvidim obsah janko-hrasko.sk.To fungovat bude, pokud někdo mezi vámi ve WAN a vaším routerem neunáší DNS dotazy – někteří ISP to dělají. A taky je potřeba, abyste měl ten váš DNS resolver dobře zabezpečený, protože ho máte vystaven do internetu a překládat (a útočit na jiné) přes něj může kdokoli. A bude to fungovat jedině v případě, kdy doménu překládá opravdu váš počítač – jakmile ji překládá třeba proxy server, použije veřejnou hierarchii DNS a vašeho serveru se vůbec ptát nebude. Ovšem mnohem jednodušší je, když si na svém počítači ve WAN nastavíte do
/etc/hosts tu vaši pokusnou adresu a IP adresu routeru. Nemusíte pak řešit DNS server nebo únosy DNS dotazů a bude vám to fungovat. Samozřejmě stále za předpokladu, že DNS překládá váš počítač – proxy server takhle neovlivníte.
servers: 8.8.8.8,8.8.4.4
dynamic-servers:
allow-remote-requests: yes
max-udp-packet-size: 512
query-server-timeout: 2s
query-total-timeout: 10s
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 401KiB
Viac o dns v mk je tu Chapem to tak, ze ak klient zada do url nazov webu, tak poziadavka smeruje na dns, najprv sa pozre do cache a ak nic nanajde, tak ide na staticke zaznamy a ak tam nieco najde, tak to presmeruje podla statickeho zaznamu a ak tam nic nenajde tak to ide dalej na 8.8.8.8 resp 8.8.4.4tcpdump s filtrem na port 53/udp. Když tam dotaz přijde, je problém na straně vašeho routeru. Když dotaz nepřijde, blokuje to někdo po cestě a máte smůlu. Jak už jsem psal, než to takhle krkolomně řešit DNS serverem, máte lepší nastavit si to v /etc/hosts. Tím obejdete případné únosy DNS dotazů.
/etc/hosts, to má větší šanci na úspěch.
12.11.2017 21:53
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
only-headers: no
memory-limit: 30KiB
memory-scroll: no
file-name:
file-limit: 30KiB
streaming-enabled: yes
streaming-server: 192.168.1.2
filter-stream: yes
filter-interface: pppoe-out1
filter-mac-address:
filter-mac-protocol:
filter-ip-address:
filter-ipv6-address:
filter-ip-protocol:
filter-port: dns
filter-cpu:
filter-direction: any
filter-operator-between-entries: or
running: yes
Potom som si v mobile (xiaomi miui) nastavil cez app DNS changer ako DNS adresu, verejnu IP mikrotiku a v mobile som v browsery napisal do url janko-hrasko.sk.janko-hrasko.sk, jsou tam dotazy a odpovědi na jiné názvy. To, že se stránka nezobrazila, vůbec nemusí znamenat, že odpověď na DNS dotaz nepřišla (zvlášť když ani nevíme, zda na Mikrotik dorazil dotaz).
Testovat to zrovna na mobilu mi nepřipadá jako dobrý nápad, asi tam nebudete mít moc nástrojů pro testování sítě. Ideální je na to nějaký počítač s Linuxem, nebo alespoň s Windows, kde můžete třeba pomocí nástroje nslookup testovat přímo DNS.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
16.11.2017 13:08