Como configurar o MikroTik para que ele intercepte o tráfego DNS da rede
Essa configuração fará com que todos os equipamentos da rede interna utilizem o serviço DNS oferecido pelo roteador MikroTik. As consultas DNS destinadas a servidores externos serão redirecionadas para o serviço DNS do MikroTik. É possível também criar uma lista de exceções.
Antes de fazer essa configuração, certifique-se de que o serviço DNS do seu MikroTik está funcionando e respondendo a consultas DNS originadas na sua rede. Para testar, pode usar um comando como nslookup google.com 192.168.88.1 a partir de algum computador da sua rede, substituindo o 192.168.88.1 pelo IP do seu MikroTik.
Acesse a interface de gerenciamento web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login. Após o login, clique no botão WebFig, no topo da página.
Acesse o menu IP → Firewall. Clique na guia NAT e então no botão Add New
No campo Chain selecione dstnat
No campo Protocol selecione udp
Preencha o campo Dst. Port com 53
No campo Action selecione dst-nat
Preencha o campo To Addresses com o IP do seu MikroTik, por exemplo, 192.168.88.1
Salve clicando no botão OK
Repita esse procedimento, trocando apenas o campo Protocol por tcp
Pronto!
Essa é uma configuração opcional, utilizada caso queira isentar alguns dispositivos da interceptação DNS.
Será criada uma lista de endereços IP dos dispositivos que não deverão ter seu tráfego DNS interceptado. Depois serão editadas as regras de redirecionamento para que considerem essa lista.
Acesse o menu IP → Firewall. Clique na guia Address Lists e então no botão Add New
Preencha o campo Name com nao_interceptar_dns
Preencha o campo Address com o endereço IP de um dispositivo para o qual não deverá ser interceptado o tráfego DNS. Dica: também pode ser especificada uma faixa de endereços, como 192.168.88.10-192.168.88.20 ou uma subrede, por exemplo, 10.10.10.0/24
Salve clicando no botão OK
Repita esse procedimento para adicionar os endereços IP de todos os dispositivos que você deseja que não tenham o tráfego DNS interceptado pelo MikroTik
Acesse o menu IP → Firewall e clique na guia NAT. Clique em uma das regras do tipo "dst-nat" criadas anteriormente.
No campo Src. Address List selecione nao_interceptar_dns e marque a caixinha à esquerda com !. Essa caixinha com o sinal de exclamação significa uma negação, ou seja, a regra não deverá ser aplicada caso o endereço de origem seja um daqueles contidos na lista.
Repita esse procedimento para a outra regra "dst-nat" criada anteriormente.
Pronto!
Importante: certifique-se de que o seu roteador receba consultas DNS somente da sua rede local. Caso o roteador esteja exposto à internet, configure regras de firewall nele para permitir o acesso à sua porta 53 (tcp e udp) somente a partir da rede local.
Em caso de dúvidas, entre em contato conosco e poderemos lhe auxiliar.
Antes de fazer essa configuração, certifique-se de que o serviço DNS do seu MikroTik está funcionando e respondendo a consultas DNS originadas na sua rede. Para testar, pode usar um comando como nslookup google.com 192.168.88.1 a partir de algum computador da sua rede, substituindo o 192.168.88.1 pelo IP do seu MikroTik.
Configurando o MikroTik para redirecionar para si o tráfego DNS dos dispositivos da rede
Acesse a interface de gerenciamento web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login. Após o login, clique no botão WebFig, no topo da página.
Acesse o menu IP → Firewall. Clique na guia NAT e então no botão Add New
No campo Chain selecione dstnat
No campo Protocol selecione udp
Preencha o campo Dst. Port com 53
No campo Action selecione dst-nat
Preencha o campo To Addresses com o IP do seu MikroTik, por exemplo, 192.168.88.1
Salve clicando no botão OK
Repita esse procedimento, trocando apenas o campo Protocol por tcp
Pronto!
Criando uma lista de exceções para as regras de redirecionamento
Essa é uma configuração opcional, utilizada caso queira isentar alguns dispositivos da interceptação DNS.
Será criada uma lista de endereços IP dos dispositivos que não deverão ter seu tráfego DNS interceptado. Depois serão editadas as regras de redirecionamento para que considerem essa lista.
Acesse o menu IP → Firewall. Clique na guia Address Lists e então no botão Add New
Preencha o campo Name com nao_interceptar_dns
Preencha o campo Address com o endereço IP de um dispositivo para o qual não deverá ser interceptado o tráfego DNS. Dica: também pode ser especificada uma faixa de endereços, como 192.168.88.10-192.168.88.20 ou uma subrede, por exemplo, 10.10.10.0/24
Salve clicando no botão OK
Repita esse procedimento para adicionar os endereços IP de todos os dispositivos que você deseja que não tenham o tráfego DNS interceptado pelo MikroTik
Acesse o menu IP → Firewall e clique na guia NAT. Clique em uma das regras do tipo "dst-nat" criadas anteriormente.
No campo Src. Address List selecione nao_interceptar_dns e marque a caixinha à esquerda com !. Essa caixinha com o sinal de exclamação significa uma negação, ou seja, a regra não deverá ser aplicada caso o endereço de origem seja um daqueles contidos na lista.
Repita esse procedimento para a outra regra "dst-nat" criada anteriormente.
Pronto!
Importante: certifique-se de que o seu roteador receba consultas DNS somente da sua rede local. Caso o roteador esteja exposto à internet, configure regras de firewall nele para permitir o acesso à sua porta 53 (tcp e udp) somente a partir da rede local.
Em caso de dúvidas, entre em contato conosco e poderemos lhe auxiliar.
Atualizado em: 12/04/2023
Obrigado!