Mikrotik blok inkomende DNS aanvragen
Blok inkomende DNS aanvragen op je Mikrotik router. Waarom moet je externe DNS aanvragen of anders gezegd DNS-requests blokken op je Mikrotik router?
DNS aanvragen veroorzaken zoveel verkeer op je Mikrotik router dat uw router daardoor kan vastlopen. Dit komt omdat de CPU van je Mikrotik router volledig belast kan worden.
Dit ondermijnt de stabiliteit en performance van je volledig netwerk. Blokkeren van inkomende DNS aanvragen voorkomt DNS-aanvallen.
Als je op je Mikrotik router de DNS-server activeert is het de bedoeling dat de DNS-server binnen uw netwerk wordt gebruikt en niet buiten je netwerk.
Veel mensen weten niet dat de DNS-server op de Mikrotik kan misbruikt worden
Blok DNS-aanvragen door middel van één firewall rule. De Mikrotik DNS-server is vervolgens geen volwaardige DNS-server en is ontworpen om op je interne netwerk te worden gebruikt. Op de firewall heb ik ook de log aangevinkt met een log prefix. Op deze manier kan je in de log zien hoeveel DNS-aanvragen er binnen komen en dat zijn er heel wat.
In RouterOS 6.x is de DNS-cache beperkt tot 100 gelijktijdige verzoeken. Om meer verzoeken aan te kunnen moet u een vrij grote cache instellen om ervoor te zorgen dat DNS-namen zo snel mogelijk worden opgelost als het antwoord niet in de cache staat.
De router gebruikt één cache server, en alleen als deze niet reageert, gaat de router naar de volgende ingegeven DNS-server. Indien de eerste DNS-server terug reageert treed deze terug in werking.
Bron: Mikrotik.com
Wat betekent DNS?
Ofschoon een echte DNS-server meer in zijn mars heeft hou ik het immers bij de Mikrotik DNS-functie. DNS is namelijk de afkorting van Domain Name System.
Door middel van een DNS-server kunnen IP-adressen omgezet worden in namen en omgekeerd, kunnen namen omgezet worden in IP-adressen.
De Mikrotik router heeft vervolgens ook een klein DNS-server functie in RouterOs. Namelijk de IP-adressen van je netwerktoestellen omzetten in namen en een cash om bepaalde DNS-aanvragen vlugger te laten verlopen binnen je eigen netwerk.
Doch deze Mikrotik DNS server is dus niet gemaakt om vervolgens op alle DNS-requests of anders gezegd DNS-aanvragen te antwoorden.
Daarvoor is de CPU veel te licht en bovendien is het niet de bedoeling om je router open te stellen voor iedereen. Blok daarom DNS-aanvragen die van buitenaf je netwerk komen.
Over naar het blokken van externe DNS-aanvragen
-
Klik in het hoofdvenster op "Ip".
-
Vervolgens klik verder op "Firewall".
-
Klik op het blauwe kruisje om een nieuwe firewall rule aan te maken.
-
Bij "chain" selecteer je "input" wat wil zeggen alle data aanvragen wat in de router wil komen.
-
Als protocol selecteer "UDP".
-
Vervolgens vul je de poort 53 in.
-
Bij "In interface" selecteer de interface die naar je ISP-modem/router gaat.
-
Klik op het tabblad "action".
-
Bij "action" selecteer "drop".
-
Vink het vakje "log" aan, bij "log prefix" vul in het vak iets in bijvoorbeeld: "extern_dns_requests.
-
Bevestig met "ok".
-
Klik op "copy" want tegenwoordig zijn er ook DNS aanvragen in TCP vorm.
-
Verander in het tweede tabblad het protocol in "TCP".
-
Bevestig met ok en sluit de firewall vensters.
Het instellen van de log file op je Mikrotik router
-
In het hoofdvenster klik je op "system".
-
Vervolgens klik je op "logging".
-
Bij topics selecteer je "DNS".
-
Als prefix vul je dezelfde prefix van daarjuist aan.
-
Bevestig vervolgens met "ok".
Als je nu bij logs kijkt zie je de externe DNS aanvragen binnen stromen.
Met als resultaat "server failure" de DNS-aanvragen worden geblokt.