Como configurar o MikroTik para que ele intercepte o tráfego DNS da rede
Essa configuração fará com que todos os equipamentos da rede interna utilizem o serviço DNS oferecido pelo roteador MikroTik. As consultas DNS destinadas a servidores externos serão redirecionadas para o serviço DNS do MikroTik. É possível também criar uma lista de exceções.
nslookup
google.com
192.168.88.1
a partir de algum computador da sua rede, substituindo o 192.168.88.1 pelo IP do seu MikroTik.Configurando o MikroTik para redirecionar para si o tráfego DNS dos dispositivos da rede
- Acesse a interface de gerenciamento web do seu roteador MikroTik, por exemplo http://192.168.88.1, e efetue login. Após o login, clique no botão WebFig, no topo da página.
- Acesse o menu IP → Firewall. Clique na guia NAT e então no botão Add New
- No campo Chain selecione
dstnat
- No campo Protocol selecione
udp
- Preencha o campo Dst. Port com
53
- No campo Action selecione
dst-nat
- Preencha o campo To Addresses com o IP do seu MikroTik, por exemplo,
192.168.88.1
- Salve clicando no botão OK
- Repita esse procedimento, trocando apenas o campo Protocol por
tcp
Pronto!
Criando uma lista de exceções para as regras de redirecionamento
Será criada uma lista de endereços IP dos dispositivos que não deverão ter seu tráfego DNS interceptado. Depois serão editadas as regras de redirecionamento para que considerem essa lista.
- Acesse o menu IP → Firewall. Clique na guia Address Lists e então no botão Add New
- Preencha o campo Name com
nao_interceptar_dns
- Preencha o campo Address com o endereço IP de um dispositivo para o qual não deverá ser interceptado o tráfego DNS. Dica: também pode ser especificada uma faixa de endereços, como 192.168.88.10-192.168.88.20 ou uma subrede, por exemplo, 10.10.10.0/24
- Salve clicando no botão OK
- Repita esse procedimento para adicionar os endereços IP de todos os dispositivos que você deseja que não tenham o tráfego DNS interceptado pelo MikroTik
- Acesse o menu IP → Firewall e clique na guia NAT. Clique em uma das regras do tipo "dst-nat" criadas anteriormente.
- No campo Src. Address List selecione
nao_interceptar_dns
e marque a caixinha à esquerda com!
. Essa caixinha com o sinal de exclamação significa uma negação, ou seja, a regra não deverá ser aplicada caso o endereço de origem seja um daqueles contidos na lista. - Repita esse procedimento para a outra regra "dst-nat" criada anteriormente.
Pronto!
Em caso de dúvidas, entre em contato conosco e poderemos lhe auxiliar.
Atualizado em: 10/07/2023
Obrigado!