Como configurar el Mikrotik para dirigir el puerto 53 a un DNS con seguridad RPZ

Introduccion

Para configurarlo puede hacerlo de 2 maneras, por cli o por gui. Paso a explicar cada una:

Por cli:

Solucion 1:

Para revisar y comparar pueden usar:

/ip firewall connection print count-only

/ip firewall connection tracking print

Tambien se recomienda bajar los timeouts de UDP:

/ip firewall connection tracking set udp-timeout=3s

Hacer una address-list con las direcciones IP de los resolvers correctos de Planisys para la instalacion del cliente, p.ej:

/ip firewall address-list
add list=planisys-dns address=179.63.248.113
add list=planisys-dns address=131.108.43.113

Aplicar una regla de NAT y redirección al port udp/53 hacia los resolvers de Planisys, que se aplique UNICAMENTE a aquellos requests que van dirigidos a otros DNSs como p.ej. 8.8.8.8, 1.1.1.1 o resolvers pertenecientes a algún atachante. De esta manera, se reduce el consumo de conntracks a clientes mal configurados solamente:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 dst-address-list=!planisys-dns action=dst-nat to-addresses=179.63.248.113
add chain=dstnat protocol=tcp dst-port=53 dst-address-list=!planisys-dns action=dst-nat to-addresses=131.108.43.113

Por gui seria de la siguiente manera:

Estas imagenes corresponderian a la redireccion del trafico DNS

../../_images/mkt1.png ../../_images/mkt2.png ../../_images/mkt3.png ../../_images/mkt4.png

Esta imagen corresponde a la configuracion de la ip del RPZ como la habilitacion del uso del cache

../../_images/mkt5.png

Breve resumen de las opciones antes mencionadas

1- Redirección del tráfico DNS al puerto 53: Configura reglas de firewall para capturar todo el tráfico DNS (tanto UDP como TCP) que utiliza el puerto 53 y redirigirlo hacia el propio router. Esto asegura que todas las solicitudes de resolución de nombres pasen a través del router, independientemente del servidor DNS que los dispositivos de la red intenten usar.

2- Configuración del servidor DNS en el MikroTik: Especifica el servidor DNS que el router usará para resolver las solicitudes DNS. Esta configuración permite que el MikroTik actúe como intermediario, redirigiendo las solicitudes al servidor DNS configurado (por ejemplo, un servidor DNS público o privado).

3- Permitir solicitudes remotas y uso de caché DNS: Habilita el router para aceptar solicitudes de resolución de DNS desde los dispositivos conectados a la red local. Al hacerlo, el MikroTik puede actuar como un servidor DNS para la red, resolviendo las consultas y almacenando las respuestas en caché para mejorar el rendimiento.