Como configurar o Mikrotik para direcionar a porta 53 para um DNS com segurança RPZ
Introdução
Para configurá-lo, isso pode ser feito de 2 maneiras: por CLI ou por GUI. Vou explicar cada uma delas:
Via CLI:
Solução 1:
Para verificar e comparar o uso atual do connection tracking, você pode utilizar:
/ip firewall connection print count-only
/ip firewall connection tracking print
Para verificar e comparar o uso atual do connection tracking, você pode utilizar:
/ip firewall connection tracking set udp-timeout=3s
Crie uma lista de endereços (address-list) com os endereços IP dos resolvedores Planisys adequados para a instalação do cliente, por exemplo:
/ip firewall address-list
add list=planisys-dns address=179.63.248.113
add list=planisys-dns address=131.108.43.113
Aplique uma regra de NAT para redirecionar o tráfego UDP/53 para os resolvedores da Planisys, garantindo que ela seja aplicada SOMENTE às consultas destinadas a outros servidores DNS, como por exemplo 8.8.8.8, 1.1.1.1 ou resolvedores controlados por um invasor. Dessa forma, o consumo de conntrack será limitado apenas aos clientes configurados incorretamente:
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 dst-address-list=!planisys-dns action=dst-nat to-addresses=179.63.248.113
add chain=dstnat protocol=tcp dst-port=53 dst-address-list=!planisys-dns action=dst-nat to-addresses=131.108.43.113
Por GUI seria da seguinte maneira:
Estas imagens corresponderiam ao redirecionamento do tráfego DNS
Esta imagem corresponde à configuração do IP do RPZ, assim como à habilitação do uso de cache
Breve resumo das opções mencionadas anteriormente
1- Redirecionamento do tráfego DNS para a porta 53: Configura regras de firewall para capturar todo o tráfego DNS (tanto UDP quanto TCP) que utiliza a porta 53 e redirecioná-lo para o próprio roteador. Isso garante que todas as solicitações de resolução de nomes passem pelo roteador, independentemente do servidor DNS que os dispositivos da rede tentem utilizar.
2- Configuração do servidor DNS no MikroTik: Especifica o servidor DNS que o roteador utilizará para resolver as solicitações DNS. Esta configuração permite que o MikroTik atue como intermediário, redirecionando as solicitações para o servidor DNS configurado (por exemplo, um servidor DNS público ou privado).
3- Permitir solicitações remotas e uso de cache DNS: Habilita o roteador para aceitar solicitações de resolução DNS provenientes dos dispositivos conectados à rede local. Ao fazer isso, o MikroTik pode atuar como um servidor DNS para a rede, resolvendo as consultas e armazenando as respostas em cache para melhorar o desempenho.