交流 › RouterOS › 请教双线dns拦截的事情

xuxi3201 发表于 2016-5-6 08:56:14

请教双线dns拦截的事情

我是双线， 还有个地方是三线，

做了dns拦截。
/ip firewall nat
add action=redirect chain=dstnat dst-port=53 in-interface=lan01 protocol=udp src-address=192.168.0.0/16 to-ports=53

现在发现，所有的dns请求，都是一个宽带发出给电信dns服务器，
请问高手，怎么才可以 三个宽带都发出dns请求给电信dns服务器

cspm333 发表于 2016-5-6 09:57:08

對chain=output protocol=udp dst-port=53做pcc或nth即可.

xuxi3201 发表于 2016-5-7 11:02:42

本帖最后由 xuxi3201 于 2016-5-7 11:03 编辑

再请教一下，
用p2p软件的电脑， 本地一个端口，对应外网很多端口（附加的图 就是这样）。
能不能这样写：本地一个端口 连接数>10做action=add-src-to-address-list

我现在只会简单的：
add action=add-src-to-address-list address-list=Limited address-list-timeout=3m chain=forward connection-limit=50,32 protocol=udp src-address=192.168.0.0/16

cspm333 发表于 2016-5-7 17:12:08

本帖最后由 cspm333 于 2016-5-7 17:22 编辑

做法沒錯,但您數字似乎標錯了.
connection-limit=50,32 的32是遮罩(PC數量)的意思,50是連線數.

您標成了內網的某個PC 針對某網外一個特定IP一口氣送出50個連線時,
才加入Limited...這樣感覺不太對.

所以您應該擴大遮罩標示會比較好.

32->1PC
31->2PC
30->4PC
29->8PC
28->16PC
27->32PC
26->64PC....以下類推.

遮罩開的越大,連線就分的越少;不然您也可遮罩不變,但連線數限縮 (就分子/分母間的關係,意思差不多)

xuxi3201 发表于 2016-5-7 17:40:05

我现在是50， 一台电脑连接数达到50就进入list，就会被限速。

这个是“基于ip”测连接数，

我找你 是问，能不能“基于端口”测连接数

cspm333 发表于 2016-5-7 18:49:48

xuxi3201 发表于 2016-5-7 17:40
我现在是50， 一台电脑连接数达到50就进入list，就会被限速。

这个是“基于ip”测连接数，


改用script代勞.

script:
:for i from=1 to=254 \
   do={:if ([:len ]>=50) \
         do={/ip firewall address-list add list=Limited address=[:toip "192.168.0.$i"] timeout=3m}}

xuxi3201 发表于 2016-5-7 19:54:18

就是这样写的，谢谢

以前看见过，   跟帖的人说，这语句消耗很大，电脑配置一般 就不要运行了。所以记得。

cspm333 发表于 2016-5-7 20:39:53

xuxi3201 发表于 2016-5-7 19:54
就是这样写的，谢谢

以前看见过，   跟帖的人说，这语句消耗很大，电脑配置一般 就不要运行了。所以记 ...

PC的每筆連線要求,成功連接後必會回應回原要求的PC上.
反向思考,若同時有50筆回應回到這台PC上 ,那就把這台PC的IP給記錄起來.

這邏輯應該行的通,您試試:
add action=add-dst-to-address-list address-list=Limited address-list-timeout=3m chain=forward connection-limit=50,32 dst-address=192.168.0.0/16

hainanmm 发表于 2016-5-16 03:47:23

cspm333 发表于 2016-5-7 20:39
PC的每筆連線要求,成功連接後必會回應回原要求的PC上.
反向思考,若同時有50筆回應回到這台PC上 ,那就把 ...

记录下来有什么用。
去找用P2P的电脑用户让他不要下载。
有办法限制找到的IP限制他们的速度吗？

xuxi3201 发表于 2016-5-16 12:36:54

hainanmm 发表于 2016-5-16 03:47
记录下来有什么用。
去找用P2P的电脑用户让他不要下载。
有办法限制找到的IP限制他们的速度吗？

去找用P2P的电脑用户让他不要下载
你的这个办法，我当然不会采用。


我已经找到办法了：
自动发现并把那些 p2p的电脑限速，上传0.5M。
等他们 关闭p2p软件 几分钟后 自动解除限制。

xuxi3201 发表于 2016-5-16 12:57:21

本帖最后由 xuxi3201 于 2016-5-16 13:16 编辑

cspm333 你好，按照你 2016-5-6 09:57:08 说的方法：對chain=output protocol=udp dst-port=53做pcc.


我测试过程是：pcc有流量到电信dns，电脑这边 dns不通了。





是不是因为我有这几句：
/ip firewall mangle
add action=accept chain=prerouting src-address=192.168.0.0/16 dst-address=192.168.0.0/16
add action=accept chain=prerouting src-address=192.168.0.0/16 dst-address-type=local
add action=accept chain=output dst-address=192.168.0.0/16

xuxi3201 发表于 2016-5-16 13:40:09

本帖最后由 xuxi3201 于 2016-5-16 14:11 编辑

一个宽带 dns请求到电信，
现在速度挺快的。 可以不改了。

我只是很想知道原因，怎么才能2个宽带请求dns。
   

查看完整版本: 请教双线dns拦截的事情