Como configurar o Mikrotik para direcionar a porta 53 para um DNS com segurança RPZ

Introdução

Para configurá-lo, isso pode ser feito de 2 maneiras: por CLI ou por GUI. Vou explicar cada uma delas:

Via CLI:

Solução 1:

Para verificar e comparar o uso atual do connection tracking, você pode utilizar:

/ip firewall connection print count-only
/ip firewall connection tracking print

Para verificar e comparar o uso atual do connection tracking, você pode utilizar:

/ip firewall connection tracking set udp-timeout=3s

Crie uma lista de endereços (address-list) com os endereços IP dos resolvedores Planisys adequados para a instalação do cliente, por exemplo:

/ip firewall address-list
add list=planisys-dns address=179.63.248.113
add list=planisys-dns address=131.108.43.113

Aplique uma regra de NAT para redirecionar o tráfego UDP/53 para os resolvedores da Planisys, garantindo que ela seja aplicada SOMENTE às consultas destinadas a outros servidores DNS, como por exemplo 8.8.8.8, 1.1.1.1 ou resolvedores controlados por um invasor. Dessa forma, o consumo de conntrack será limitado apenas aos clientes configurados incorretamente:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 dst-address-list=!planisys-dns action=dst-nat to-addresses=179.63.248.113
add chain=dstnat protocol=tcp dst-port=53 dst-address-list=!planisys-dns action=dst-nat to-addresses=131.108.43.113

Por GUI seria da seguinte maneira:

Estas imagens corresponderiam ao redirecionamento do tráfego DNS

../../_images/mkt1.png ../../_images/mkt2.png ../../_images/mkt3.png ../../_images/mkt4.png

Esta imagem corresponde à configuração do IP do RPZ, assim como à habilitação do uso de cache

../../_images/mkt5.png

Breve resumo das opções mencionadas anteriormente

1- Redirecionamento do tráfego DNS para a porta 53: Configura regras de firewall para capturar todo o tráfego DNS (tanto UDP quanto TCP) que utiliza a porta 53 e redirecioná-lo para o próprio roteador. Isso garante que todas as solicitações de resolução de nomes passem pelo roteador, independentemente do servidor DNS que os dispositivos da rede tentem utilizar.

2- Configuração do servidor DNS no MikroTik: Especifica o servidor DNS que o roteador utilizará para resolver as solicitações DNS. Esta configuração permite que o MikroTik atue como intermediário, redirecionando as solicitações para o servidor DNS configurado (por exemplo, um servidor DNS público ou privado).

3- Permitir solicitações remotas e uso de cache DNS: Habilita o roteador para aceitar solicitações de resolução DNS provenientes dos dispositivos conectados à rede local. Ao fazer isso, o MikroTik pode atuar como um servidor DNS para a rede, resolvendo as consultas e armazenando as respostas em cache para melhorar o desempenho.