De Help Desk punt NL
Kennisbank
De Helpdesk > De Helpdesk > Kennisbank

DNS server op RouterOS MikroTik

Oplossing

Mocht je besluiten om de DNS server van MikroTik router te gaan gebruiken zorg er dan wel voor dat dit geen open DNS is, de meeste providers vinden dit niet zo leuk.

Om er voor te zorgen dat je wel kan resolven (oplossen) zul je eerst de DNS servers van je keuze toe moeten voegen aan de lijst 'dns' in dit voorbeeld.

Ik gebruik de volgende open DNS services:

  • 8.8.8.8 (Google, altijd snel en altijd online)
  • 4.2.2.2 (Level 3 communications, de eerste open dns server, welke sysadmin kent hem niet....)
  • 208.67.222.222 (Open DNS, altijd snel en iets meer anoniem dan google)
  • 208.67.220.220 (Open DNS, altijd snel en iets meer anoniem dan google)
  • Optioneel, ben deze nu aan het testen 31.220.43.191 (OpenNIC volledig anoniem, zegt geen logs op te slaan)
  • Optioneel, ben deze nu aan het testen 151.236.29.92  (OpenNIC volledig anoniem, zegt geen logs op te slaan)

Deze DNS servers mogen nu gebruik maken van poort 53, alle andere verkeer wordt gedropt.

Om deze toe te voegen open je een terminal en voer je uit:


 

/ip firewall address-list
add address=8.8.8.8 list=dns
add address=4.2.2.2 list=dns
add address=208.67.222.222 list=dns
add address=208.67.220.220 list=dns


 

Nu moeten we de regels nog aanmaken om al het andere verkeer tegen te houden of te weigeren. 

In dit voorbeeld gebruik ik ether1 als WAN, maar dat pas je natuurlijk aan aan je eigen situatie.

Voer uit:


 

/ip firewall filter
add action=accept chain=input comment="Inbound DNS" in-interface=ether1 protocol=udp src-address-list=dns src-port=53
add action=accept chain=forward comment="Inbound DNS" in-interface=ether1 protocol=udp src-address-list=dns src-port=53
add action=accept chain=output comment="Outbound DNS" dst-address-list=dns dst-port=53 out-interface=ether1 protocol=udp
add action=accept chain=forward comment="Outbound DNS" dst-address-list=dns dst-port=53 out-interface=ether1 protocol=udp
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=ether1 protocol=tcp


 

Ik zou deze regels altijd in mijn firewall zetten, mocht je of een andere beheerder besluiten DNS aan te zetten en deze niet aan te maken kun je in de problemen komen met je provider, of je router loopt over van de duizenden vaak fake requests....

Om een en ander te testen kun deze website gebruiken: https://www.openresolver.nl/ je moet dan wel je IP-adres opgeven wat je weer kan achterhalen op deze website: http://watismijnip.nl/ of https://www.watismijnipadres.nl/

Verder kun je voor de zekerheid ook even kijken of er nog andere poorten open staan op je router via deze website: https://www.grc.com en kies voor "All Service Ports"

Suc6

Vragen? Wij helpen graag.

 

 
Was dit artikel bruikbaar? ja / nee
Gerelateerde artikelen SSH Firewall regel tegen - Brute Force Aanval
Blokeer op MAC adres
How TO install/Configure APF (Advanced Policy Firewall) Firewall
Advanced Port Scanner v2.4
Port forwarding op de Ziggo Cisco EPC3925 (voormalig UPC)
Port forwarding op de Ziggo Ubee EVW320b / EVW321b
Port forwarding op de Ziggo Technicolor TC7210
Port forwarding op de Ziggo Cisco EPC3925 & Cisco EPC3928
Alternatieve DNS-server instellen
Postfix mail via externe smtp (mailserver)
Artikel details
Artikel ID: 400
Categorie: RouterOS (MikroTik)
Zoekwoorden IP, firewall, filter, rule, dns, server, resolve, chain, inbound, outbound, address, adres, protocol, udp, tcp, port, poort, 53, open, test, drop, forward,
Datum toegevoegd: 10-Oct-2017 02:03:35
Aantal bekeken: 146
Beoordeling (Stemmen): Artikel beoordeeld 3.9/5.0 (70)

 
« Ga terug