User Tag List

Gracias Gracias:  0
Me agrada Me agrada:  0
Me desagrada Me desagrada:  0
Resultados 1 al 1 de 1

Tema: Servidor Local DNS en RouterBoard MikroTik

  1. #1

    Fecha de ingreso
    17 Feb, 20
    Mensajes
    27
    Reconocimientos
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)

    Servidor Local DNS en RouterBoard MikroTik

    Un servidor DNS es el equipo que se encarga de traducir los dominios a IPs y viceversa, esto se debe ya que es más fácil aprender un dominio que una dirección IP. Si un equipo quiere navegar por internet es necesario que tenga asignado un servidor de dominios ya que sin este al momento de ingresar en nuestro navegador alguna página como google.com no podrá abrirla ya que no hay quien le diga que google.com es la dirección 8.8.8.8.

    Hay dos tipos de servidores, los públicos y locales. Los públicos son servidores que cualquiera puede utilizar como el de google que es 8.8.8.8 y 8.8.4.4. Un servidor DNS Local es un equipo dentro de nuestra red que cumpla la función de servidor DNS lo que quiere decir que al momento de que se haga una petición dentro de nuestra LAN llegara a nuestro servidor y este resolverá la petición lo que disminuye el tiempo de respuesta ya que la petición no sala a internet.


    CONFIGURAR MIKROTIK COMO SERVIDOR DNS

    Los equipos Mikrotik nos permiten utilizar el propio routerboard para cumplir la función de servidor DNS y encargarse de resolver los dominios antes de salir a internet. Al configurar nuestro Mikrotik como servidor DNS hacemos uso de la memoria del equipo, pero se compensa con mayor velocidad a la hora de navegar. Para poder configurar nuestro routerboard como servidor vamos a dirigirnos a las configuraciones DNS y activaremos la función de Allow remote requests.

    1 Abrir los ajustes DNS

    Nombre:  2020-12-11_161523.png
Visitas: 4655
Tamaño: 46.1 KB
    2 Asignar DNS que tendrá nuestro servidor (estos son los dominios que consultara nuestro Routerboar) y activar la Allow remote requests. Se utilizaran los dns de google para este ejemplo.


    Nombre:  2020-12-11_162152.png
Visitas: 4754
Tamaño: 10.6 KB
    3Una vez que se active la función de Allow Remote Requests asignamos a los equipos que estén dentro nuestra LAN una dirección IP y la dirección IP Gateway 192.168.10.1, que es por donde entran las peticiones al Rb.

    Nombre:  IP.png
Visitas: 3824
Tamaño: 12.4 KB

    Verificación

    Para verificar que nuestro servidor este funcionando correctamente se debe poder resolver los dominios al momento de hacer una petición, por ejemplo, si mandamos ping a facebook.com desde CMD debe llegar sin problemas.

    Nombre:  ping.png
Visitas: 3743
Tamaño: 17.0 KB
    Todos los dominios que sean resueltos serán almacenados como cache en nuestro roterboard.

    Nombre:  lista.png
Visitas: 3853
Tamaño: 31.1 KB

    Firewall para servidor DNS

    Si se esta trabajando con una IP publica es sumamente importante que se bloqueé las peticiones al puerto 53, (puerto por defecto que usa el protocolo DNS) que provengan de la WAN (Internet) y así evitar ataques por este puerto.

    Si un equipo fuera de nuestra red ingresa nuestra ip publica como servidor DNS, las peticiones de resolución de dominios llegaran a nuestro router lo que quiere decir que tenemos una vulnerabilidad.

    1Para revisar esto, hay que colocar en un equipo que este fuera de nuestra red nuestra IP publica y verificar que podamos mandar ping a google.com por ejemplo. Si el ping es exitoso quiere decir que nuestro router cuenta con una vulnerabilidad.

    Nombre:  dns.png
Visitas: 3766
Tamaño: 50.0 KB

    Nombre:  ping google.png
Visitas: 3788
Tamaño: 14.2 KB

    2 En la terminal de nuestro router vamos a pegar el siguiente script, que sera el que nos creé la regla firewall para bloquear el acceso desde la WAN al puerto 53.

    Nota

    El script trabaja con el puerto ether1 como interfaz de salida a WAN, por lo que si usted cambio de nombre su puerto, o bien, tiene la salida a internet en otro puerto debe de ajustar el script con la interfaz con la que esta trabajando.


    /ip firewall filter
    add action=drop chain=input comment="Bloquear puerto DNS " in-interface=ether1 protocol=udp src-port=53


    Nombre:  script.png
Visitas: 3860
Tamaño: 45.9 KB

    Nombre:  regla.png
Visitas: 3797
Tamaño: 12.6 KB

    3 Verificamos nuevamente con el equipo con el que realizamos el paso 1. En esta ocasión el router estara bloqueando las peticiones que vienen del exterior de la LAN por lo que el equipo no podrá consultar nuestro servidor DNS, y por ende, tampoco podrá navegar.

    Nombre:  no ping.png
Visitas: 3765
Tamaño: 19.1 KB
    Última edición por Saul.Herrera; 15/12/2020 a las 14:40

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •