Un servidor DNS es el equipo que se encarga de traducir los dominios a IPs y viceversa, esto se debe ya que es más fácil aprender un dominio que una dirección IP. Si un equipo quiere navegar por internet es necesario que tenga asignado un servidor de dominios ya que sin este al momento de ingresar en nuestro navegador alguna página como google.com no podrá abrirla ya que no hay quien le diga que google.com es la dirección 8.8.8.8.
Hay dos tipos de servidores, los públicos y locales. Los públicos son servidores que cualquiera puede utilizar como el de google que es 8.8.8.8 y 8.8.4.4. Un servidor DNS Local es un equipo dentro de nuestra red que cumpla la función de servidor DNS lo que quiere decir que al momento de que se haga una petición dentro de nuestra LAN llegara a nuestro servidor y este resolverá la petición lo que disminuye el tiempo de respuesta ya que la petición no sala a internet.
CONFIGURAR MIKROTIK COMO SERVIDOR DNS
Los equipos Mikrotik nos permiten utilizar el propio routerboard para cumplir la función de servidor DNS y encargarse de resolver los dominios antes de salir a internet. Al configurar nuestro Mikrotik como servidor DNS hacemos uso de la memoria del equipo, pero se compensa con mayor velocidad a la hora de navegar. Para poder configurar nuestro routerboard como servidor vamos a dirigirnos a las configuraciones DNS y activaremos la función de Allow remote requests.
1 Abrir los ajustes DNS
2 Asignar DNS que tendrá nuestro servidor (estos son los dominios que consultara nuestro Routerboar) y activar la Allow remote requests. Se utilizaran los dns de google para este ejemplo.
3Una vez que se active la función de Allow Remote Requests asignamos a los equipos que estén dentro nuestra LAN una dirección IP y la dirección IP Gateway 192.168.10.1, que es por donde entran las peticiones al Rb.
Verificación
Para verificar que nuestro servidor este funcionando correctamente se debe poder resolver los dominios al momento de hacer una petición, por ejemplo, si mandamos ping a facebook.com desde CMD debe llegar sin problemas.
Todos los dominios que sean resueltos serán almacenados como cache en nuestro roterboard.
Firewall para servidor DNS
Si se esta trabajando con una IP publica es sumamente importante que se bloqueé las peticiones al puerto 53, (puerto por defecto que usa el protocolo DNS) que provengan de la WAN (Internet) y así evitar ataques por este puerto.
Si un equipo fuera de nuestra red ingresa nuestra ip publica como servidor DNS, las peticiones de resolución de dominios llegaran a nuestro router lo que quiere decir que tenemos una vulnerabilidad.
1Para revisar esto, hay que colocar en un equipo que este fuera de nuestra red nuestra IP publica y verificar que podamos mandar ping a google.com por ejemplo. Si el ping es exitoso quiere decir que nuestro router cuenta con una vulnerabilidad.
2 En la terminal de nuestro router vamos a pegar el siguiente script, que sera el que nos creé la regla firewall para bloquear el acceso desde la WAN al puerto 53.
Nota
El script trabaja con el puerto ether1 como interfaz de salida a WAN, por lo que si usted cambio de nombre su puerto, o bien, tiene la salida a internet en otro puerto debe de ajustar el script con la interfaz con la que esta trabajando.
/ip firewall filter
add action=drop chain=input comment="Bloquear puerto DNS " in-interface=ether1 protocol=udp src-port=53
3 Verificamos nuevamente con el equipo con el que realizamos el paso 1. En esta ocasión el router estara bloqueando las peticiones que vienen del exterior de la LAN por lo que el equipo no podrá consultar nuestro servidor DNS, y por ende, tampoco podrá navegar.
Última edición por Saul.Herrera; 15/12/2020 a las 14:40