ali zar može da stavlja IP adrese koje hoće ako si postavio DHCP da ti bude "authoritative"?
Pošto RuterOS koristi DNSmasq za DHCP možeš da uradiš sledeće...
da taguješ tvoj opseg "poznatih" od tih 20-ak adresa
# This is an example of a DHCP range which sets a tag, so that
# some DHCP options may be set only for this network.
dhcp-range=set:known,192.168.0.50,192.168.0.70
a onda odbaciš sve koji nisu u tom opsegu "poznatih"...
# Ignore any clients which are not specified in dhcp-host lines
# or /etc/ethers. Equivalent to ISC "deny unknown-clients".
# This relies on the special "known" tag which is set when
# a host is matched.
dhcp-ignore=tag:!known
u LInuxu (!) označava negaciju...
možeš još nešto da eksperimentišeš.
Da za taj opseg koji je izvan ovog koji koriste tvoji klijenti, u PREROUTINGU dok paketi još nisu došli na odlučivanje napraviš DNAT za dport 53 na neku nerutabilnu adresu i neće moći da otvori ni jednu stranicu (osim ako ne zna IP za svaku stranicu posebno). U tom slučaju bi morao da napraviš dva pravila jer DNS koristi i tcp i udp protokol. Dakle za tcp dport 53 i udp za dport 53 pa dnat na neku levu adresu... Bez obzira koji on DNS upiše u mrežna podešavanja svi zahtevi za risolvovanje će biti preusmereni na adresu koju si ti naznačio...