Como configurar o Mikrotik para direcionar a porta 53 para um DNS com segurança RPZ

Introdução

Você pode configurá-lo de duas maneiras, por CLI ou GUI. A seguir, explico cada uma delas:

Por CLI, seria da seguinte maneira:

# Configuración para redirigir el tráfico DNS (UDP y TCP) al puerto 53
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53

# Configuración del servidor DNS del MikroTik para utilizar la IP xxx.xxx.xxx.xxx
/ip dns set servers= xxx.xxx.xxx.xxx

# Habilitar el uso de caché DNS en el router para permitir solicitudes remotas
/ip dns set allow-remote-requests=yes

Por GUI, seria da seguinte maneira:

Estas imagens correspondem ao redirecionamento do tráfego DNS

../_images/mkt1.png ../_images/mkt2.png ../_images/mkt3.png ../_images/mkt4.png

Esta imagem corresponde à configuração do IP do RPZ e à habilitação do uso do cache

../_images/mkt5.png

Resumo breve das opções mencionadas anteriormente

1- Redirecionamento do tráfego DNS para a porta 53: Configura regras de firewall para capturar todo o tráfego DNS (UDP e TCP) que utiliza a porta 53 e redirecioná-lo para o próprio roteador. Isso garante que todas as solicitações de resolução de nomes passem pelo roteador, independentemente do servidor DNS que os dispositivos da rede tentem usar.

2- Configuração do servidor DNS no MikroTik: Especifica o servidor DNS que o roteador usará para resolver as solicitações DNS. Esta configuração permite que o MikroTik atue como intermediário, redirecionando as solicitações para o servidor DNS configurado (por exemplo, um servidor DNS público ou privado).

3- Permitir solicitações remotas e uso de cache DNS: Habilita o roteador para aceitar solicitações de resolução de DNS dos dispositivos conectados à rede local. Assim, o MikroTik pode atuar como um servidor DNS para a rede, resolvendo consultas e armazenando as respostas em cache para melhorar o desempenho.