Como configurar o Mikrotik para direcionar a porta 53 para um DNS com segurança RPZ

Introdução

Para configurá-lo, isso pode ser feito de 2 maneiras: por CLI ou por GUI. Vou explicar cada uma delas:

Por CLI existem duas soluções:

Solução 1:

# Configuración para redirigir el tráfico DNS (UDP y TCP) al puerto 53
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53

# Configuración del servidor DNS del MikroTik para utilizar la IP xxx.xxx.xxx.xxx
/ip dns set servers= xxx.xxx.xxx.xxx

# Habilitar el uso de caché DNS en el router para permitir solicitudes remotas
/ip dns set allow-remote-requests=yes

Solução 2: Não requer conntrack nem NAT

# 1. Disable conntrack for IPv4 DNS
/ip firewall raw
add chain=prerouting protocol=udp dst-port=53 action=notrack
add chain=prerouting protocol=tcp dst-port=53 action=notrack

# 2. Routing-mark for IPv4 DNS
/ip firewall mangle
add chain=prerouting protocol=udp dst-port=53 action=mark-routing new-routing-mark=dnsroute
add chain=prerouting protocol=tcp dst-port=53 action=mark-routing new-routing-mark=dnsroute

# 3. Routes for intercepted IPv4 DNS
/ip route
add dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.xxx routing-mark=dnsroute

# 4. Disable conntrack for IPv6 DNS
/ipv6 firewall raw
add chain=prerouting protocol=udp dst-port=53 action=notrack
add chain=prerouting protocol=tcp dst-port=53 action=notrack

# 5. Routing-mark for IPv6 DNS
/ipv6 firewall mangle
add chain=prerouting protocol=udp dst-port=53 action=mark-routing new-routing-mark=dns6route
add chain=prerouting protocol=tcp dst-port=53 action=mark-routing new-routing-mark=dns6route

# Exclusions (optional but recommended)
add chain=prerouting src-address=2a0c:xxxx:xxxx::66 action=accept
add chain=prerouting src-address=2a0c:xxxx:xxxx::67 action=accept

# 6. Routes for intercepted IPv6 DNS
/ipv6 route
add dst-address=::/0 gateway=2a0c:xxxx:xxxx::66 routing-mark=dns6route
add dst-address=::/0 gateway=2a0c:xxxx:xxxx::67 routing-mark=dns6route

Aviso

Esta configuração NÃO requer NAT nem conntrack

Onde diz gateway=xxx.xxx.xxx.xxx, src-address=2a0c:xxxx:xxxx::66 e src-address=2a0c:xxxx:xxxx::67, refere-se aos IPv4 e IPv6 do resolver

Por GUI seria da seguinte maneira:

Estas imagens corresponderiam ao redirecionamento do tráfego DNS

../../_images/mkt1.png ../../_images/mkt2.png ../../_images/mkt3.png ../../_images/mkt4.png

Esta imagem corresponde à configuração do IP do RPZ, assim como à habilitação do uso de cache

../../_images/mkt5.png

Breve resumo das opções mencionadas anteriormente

1- Redirecionamento do tráfego DNS para a porta 53: Configura regras de firewall para capturar todo o tráfego DNS (tanto UDP quanto TCP) que utiliza a porta 53 e redirecioná-lo para o próprio roteador. Isso garante que todas as solicitações de resolução de nomes passem pelo roteador, independentemente do servidor DNS que os dispositivos da rede tentem utilizar.

2- Configuração do servidor DNS no MikroTik: Especifica o servidor DNS que o roteador utilizará para resolver as solicitações DNS. Esta configuração permite que o MikroTik atue como intermediário, redirecionando as solicitações para o servidor DNS configurado (por exemplo, um servidor DNS público ou privado).

3- Permitir solicitações remotas e uso de cache DNS: Habilita o roteador para aceitar solicitações de resolução DNS provenientes dos dispositivos conectados à rede local. Ao fazer isso, o MikroTik pode atuar como um servidor DNS para a rede, resolvendo as consultas e armazenando as respostas em cache para melhorar o desempenho.