Ping na MK verze 6.xx

robotvor

S některých routerů které běží na MK verzi 6.xx nejde ping na seznam, nix atd..... dns mame zadane. Neporadí někdo kde je zakopaný pes?

> ping seznam.cz

invalid value for argument address:

invalid value of mac-address, mac address required

invalid value for argument ipv6-address

while resolving ip-address: could not get answer from dns server

robotvor

Nikdo neví?

ludvik

Asi to ostatním funguje :-) Teď jsem ping dle DNS zkusil na 6.11

ludek

Přidej si do firewallu toto pravidlo:

ip firewall filter add chain=input action=accept protocol=udp src-address=<IP DNS serveru> in-interface=<WAN rozhraní> src-port=53

Nezapomeň patřičně upravit a dát před drop/reject.

ludvik

Správnější je mít na začátku:

add action=accept chain=input connection-state=established disabled=no

add action=accept chain=input connection-state=related disabled=no

Za tím pravidla s povolenými službami (co povoluji z venku)... a jako poslední DROP na všechno ostatní (nebo REJECT, to záleží na světonázoru autora). Pak není nic odchozího z routeru omezováno (v pravidlech OUTPUT nevidím moc smyslu, předpokládám, že tam je povolené vše).

ludek

Správnější je mít na začátku:

add action=accept chain=input connection-state=established disabled=no

add action=accept chain=input connection-state=related disabled=no

Za tím pravidla s povolenými službami (co povoluji z venku)... a jako poslední DROP na všechno ostatní (nebo REJECT, to záleží na světonázoru autora). Pak není nic odchozího z routeru omezováno (v pravidlech OUTPUT nevidím moc smyslu, předpokládám, že tam je povolené vše).

Správnější? Copak to co píšeš nějak odporuje tomu co jsem napsal? :)

Důležité je, že musí ve firewallu povolit komunikaci s DNS serverem. Co tam je dál již neřeší jeho problém.

edit: Abych lépe vysvětlil moji myšlenku. Poslal jsem pravidlo co pokud možno nejlépe popisuje v čem má problém. Neřešil jsem ideální konfiguraci, jak se to dělá "nejlépe/správně".

ludvik

Jo ... změní se DNS a zase bude hledat problém. Okecávat začátečníkům dobré zvyky se nevyplácí.

Proto Stavový firewall, protože ví o stavu spojení. Takže pokud mám ošetřené, že to co už jede, to není zablokované, nejsem vázán povinností si povolovat, na které servery můžu (což v podstatě tvoje pravidlo dělá). Mým řešením obsáhnu naprosto vše, jelikož komunikaci toho routeru samotného neomezuji.

Druhé pěkné pravidlo je - omezovat na straně, kde to má logický smysl. Takže když už bych chtěl omezovat odchozí provoz, dělám to na OUTPUTu.

A správnější to je (když už se chceš hádat) proto, že nejenom UDP používá DNS ... ale i TCP. A čímdál častěji, neboť DNSSEC ty odpovědi dost natahuje.

Takže jsi mu poradil v podstatě dva řádky, jako já ... ale to moje je univerzální (a kratší na psaní). Pro všechny služby, co by mohl chtít ...

Stejně to je bezpředmětné, neboť neznáme stav jeho firewallu.

robotvor

Není problém udělat demo účty pro nahlídnutí když tak SZ pokud jste ochotni mrknout a poradit co by šlo udělat jinak a lépe.

jirk

Zdravím

Mám podobný problém s DNS jako autor v úvodním příspěvku:

Pri pingu na www.mbank.cz se vypisuje:

> ping www.mbank.cz

invalid value for argument address:

invalid value of mac-address, mac ad

invalid value for argument ipv6-addr

while resolving ip-address: could no

Přitom ostatní adresy překládá DNS server mikrotiku vpořádku.

Nějaká Idea, kde je chyba?

Zkoušel jsem v PC nastavit DNS Google, ale i tak mi to nevrátí na www.mbank.cz žádnou IP adresu.

Díky

ludvik

Kdybys nezmínil ten google, tak řeknu, že nemáš dostupnou IP 157.25.5.2 (tam mají autoritativní DNS ...). Ale jelikož jsi zmínil, tak odpovím, že Google toto jméno překládá správně.

jirk

Vyreseno. Chyba byla na strane poskytovatele. Jestli jsem ho dobre pochopil, tak adresy sveho dns a dns google jeste prekladal na jine adresy. Nevim přesně. Diky i tak.