Esse post começa com uma recomendação:
Não ativem o DNS recursivo no RouterOS…
… se você não precisa, ou nem sabe para que serve =).
Como eu ativo o DNS recursivo no meu roteador MikroTik? Veja só:
Marcou a checkbox, ativou o DNS recursivo.
Entretanto, ativar o DNS recursivo não implica em nenhum problema desde que você necessite utilizar. Aliás, o DNS no RouterOS atua como cache, e melhora consideravelmente a experiência para o usuário, pois agiliza as consultas a nomes de domínios.
Porém, antes de sair clicando na checkbox, é preciso estabelecer quem pode, ou quem não pode consultar o DNS do nosso roteador MikroTik. Isso tudo pois quando o “Allow Remote Requests” está habilitado, o roteador acaba respondendo consultas de DNS para qualquer IP, o que pode demandar o uso excessivo de tráfego.
Mais além, o DNS do roteador pode ser utilizado em um ataque de DDoS, onde possui um fator de amplificação de até 54 vezes.
Para controlar as respostas ao DNS do nosso roteador MikroTik, vamos usar o firewall.
Antes de adicionar as regras no firewall, vamos definir nossas interfaces de WAN, através do menu Interface > Interface List:
Após definir quais interfaces farão parte da lista WAN, vamos usar a tabela Raw do Firewall. A tabela Raw foi introduzida na versão 6.36 do RouterOS, e atua antes da connection tracking, resultando em uma melhor performance no filtro de pacotes.
Para as regras, é preciso definir a chain de prerouting, o protocolo UDP e a porta de destino 53, além de mencionar a lista de interfaces que criamos anteriormente, através do campo “In. Interface List”. A action da nossa regra será drop. Vamos duplicar a regra criada, alterando o protocolo para TCP.
Não esqueçam de comentar as regras criadas, pois documentação de rede nunca é demais.
Com essas regras, iremos descartar silenciosamente os pacotes com destino à porta 53 UDP e TCP, que vierem de qualquer interface da minha lista “WAN”. Em outras palavras, não vamos permitir a consulta de DNS recursivo, à nenhum endereço IP de fora da rede.
Essas regras são essenciais para a utilização do DNS cache do RouterOS.
Até a próxima!