Как отключить функционал на Mikrotik, который создает записи (resolve) IP-адресов, запрещенных в РФ? 

У меня есть список доменных имен, которые подлежат запрету, и они находятся на обслуживании крупного американского хостинг-провайдера. Когда происходит процесс разрешения (resolve), это приводит к отключению таких сервисов, как Stackoverflow, Deepl, Softportal и нейросеть Perplexity, что создает сложности, так как без доступа к США невозможно продолжать работу. Удаление записей проходит успешно, потому что в черный список вносятся только запрещенные доменные имена, а не их IP-адреса. Однако позже, когда маршрутизатор Mikrotik начинает выполнять разрешение, происходит блокировка, так как на одном IP могут находиться как мошеннические, так и законные ресурсы. Как можно отключить эту функцию?
  • 15 ноября 2024 г. 3:13
Ответы на вопрос 2 
Для того чтобы отключить разрешение доменных имен (DNS) на маршрутизаторе MikroTik и избежать блокировки IP-адресов, связанных с доменными именами, которые находятся в черном списке, можно воспользоваться некоторыми настройками. В MikroTik нет прямой функции "отключить разрешение IP-адресов", но можно настроить маршрутизатор так, чтобы он не разрешал проблемные доменные имена и использовал альтернативные DNS-серверы для доступа к законным ресурсам. Вот некоторые шаги, которые могут помочь:

### 1. Настройка DNS

1. **Отключите встроенный DNS-сервер MikroTik**:
   - Зайдите в **IP → DNS**.
   - Убедитесь, что опция **"Allow Remote Requests"** отключена. Это предотвратит использование локального DNS для разрешения доменных имен.

2. **Установите альтернативный DNS**:
   - Отключив локальный DNS, вы можете использовать DNS-серверы, которые не блокируют нужные вам ресурсы. Вы можете использовать публичные DNS, такие как Google (8.8.8.8, 8.8.4.4) или Cloudflare (1.1.1.1, 1.0.0.1).
   - Добавьте альтернативные DNS-серверы в настройках MikroTik в разделе **IP → DNS → Servers**.

### 2. Настройка правил firewall

Если у вас есть список доменных имен для блокировки, вы можете использовать правила firewall, чтобы блокировать доступ к этим доменам.

1. **Создайте правила для блокировки конкретных доменных имен**:
   - Используйте `layer7 protocol` или `address-list` для создания списка запрещенных доменов.
   - Добавьте правила в firewall для их блокировки:
     - **IP → Firewall → Filter Rules → Add New**
     - В разделе `General` выберите `Chain = forward`, установите `Src. Address List` на список запрещенных IP, если у вас его еще нет.
     - Установите действие `Drop` или `Reject`.

### 3. Использование Proxy

Если вы хотите контролировать более точно, каким ресурсам разрешен доступ, вы можете настроить Proxy-сервер на MikroTik.

1. **Настройте Proxy**:
   - Включите Http Proxy в меню **IP → Web Proxy** и настройте его.
   - Вы можете создать правила для фильтрации по URL или IP.

### 4. Ручное управление доменными именами

Если используется динамическое разрешение доменных имен, можно вручную добавлять разрешения только для тех доменов, с которыми вы работаете, однако это потребует постоянного контроля и обновления.

### Заключение

Эти шаги помогут вам избежать блокировок, связанные с разрешением доменных имен, и обеспечить доступ к нужным ресурсам. Пожалуйста, учитывайте также, что изменение настроек маршрутизатора может повлиять на доступ к другим ресурсам. Рекомендуется внимательно следить за изменениями и тестировать их влияние на вашу сеть.
Всякие клауфлаеры на пале одинаковых IP находятся миллионы сайтов. Микрот резолвит в IP и блочит именно по IP 
 
 Эту проблему решит (но это не точно) только NGFW с ssl декриптом, чтобы заглядывать в заголовки. 
 Нечто подобное можно сделать на микроте, но вряд-ли будет работать.
Похожие вопросы
    Показать ещё