MikroTik - DNS i Firewall

DNS i Firewall (NAT) w MikroTik (RouterOS / WinBox)

Teoria

Allow Remote Requests – opcja aktywująca funkcję lokalnego serwera DNS dla urządzeń w sieci lokalnej
Atak DNS Amplification – zagrożenie polegające na zasypywaniu routera zapytaniami z zewnątrz; wymaga zablokowania portu 53 na interfejsie WAN
Source NAT (srcnat / Masquerade) – maskarada; ukrywa adresy IP sieci lokalnej za jednym publicznym adresem interfejsu WAN, umożliwiając dostęp do internetu
Fasttrack – funkcja omijająca sprawdzanie niektórych reguł firewall dla pakietów w już nawiązanych połączeniach, co drastycznie zmniejsza zużycie procesora

Konfiguracja przez WinBox (GUI)

Konfiguracja DNS: Menu główne → IP → DNS → W polu Servers wpisz np. 8.8.8.8, kliknij strzałkę w dół i dodaj 1.1.1.1 → Zaznacz opcję Allow Remote Requests → Kliknij OK. Aby dodać lokalny rekord, kliknij przycisk Static → Kliknij + → Wpisz Name oraz Address.
Uruchomienie NAT (Maskarada): Menu główne → IP → Firewall → Zakładka NAT → Kliknij niebieski plus + → W zakładce General ustaw Chain=srcnat oraz Out. Interface=ether1 (lub inny port WAN) → Przejdź do zakładki Action → W polu Action wybierz masquerade → Kliknij OK
Zabezpieczenie portu DNS (Zapora): Menu główne → IP → Firewall → Zakładka Filter Rules → Kliknij niebieski plus + → Zakładka General: Chain=input, Protocol=17 (udp), Dst. Port=53, In. Interface=ether1 (port WAN) → Zakładka Action: Action=drop → Kliknij OK. Powtórz krok, zmieniając protokół na 6 (tcp).

Konfiguracja przez CLI (Komendy)

/ip dns set servers=8.8.8.8,1.1.1.1 allow-remote-requests=yes – konfiguruje serwery nadrzędne i zezwala na obsługę zapytań z sieci LAN

/ip dns static add name="router.local" address=192.168.88.1 ttl=1d – dodaje statyczny lokalny rekord A

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade comment="Maskarada WAN" – uruchamia podstawowy NAT (wyjście na świat)

/ip firewall filter add chain=input action=drop protocol=udp dst-port=53 in-interface=ether1 comment="Blokada DNS z WAN" – zabezpiecza port 53 UDP przed zapytaniami z internetu