Цитата |
---|
Guest пишет: Слишком брутально! Изящнее коллеги, изящнее!
/ip firewall filter
add action=add-src-to-address-list address-list="dns flood" \
address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \
src-address-list="dns flood" |
Полная бессмыслица! Закидывать каждого обратившегося на DNS на 1 час в черный список. И постоянно проверять списки. Можно было бы хотя бы сделать количество обращений в секунду. Но это все от лукавого!
Самый правильный метод предложил admin:
Цитата |
---|
admin пишет: Решения просто прикрываем запросы к внешнему интерфейсу на 53 порт.
ip firewall filter add chain=input in-interface=<ВНЕШНИЙ ИНТЕРФЕЙС> protocol=udp port=53 action=drop |
Ну или просто снять галочку в IP - DNS "Allow Remote Requests"