Как закрыть внешние dns запросы UDP port 53 на маршрутизаторе Mikrotik

Как закрыть внешние dns запросы UDP port 53 на маршрутизаторе Mikrotik

В данной статье рассмотрим ситуацию, когда на маршрутизаторе Mikrotik внешние DNS запросы сильно грузят процессор. Для решения создадим правила для блокировки входящих запросов  на 53 порт по протоколу UDP

Содержание

Введение

Часто встречается ситуация, когда нагрузка на процессор резко увеличивается хотя особо "никто ничего не делает". 

Один из вариантов - это когда микротик (Mikrotik) используется как DNS сервер (Allow Remote Requests) и у него разрешены DNS запросы извне. 

Нагрузка получается из-за того, что на наш маршрутизатор поступает большое кол-во запросов на разрешения dns-имён (resolve dns). 

Для решения этой проблемы нужно просто запретить внешние запросы на разрешения dns-имён.

Это мы будем делать через создание правила в  Firewall 

 

Описание тестового стенда

  • Роутер Mikrotik
  • DNS сервер настроен на Allow Remote Requests

 

Проверяем что именно грузит процессор на Mikrotik

Через утилиту Winbox заходим в Tools - Profile

Загрузка CPU DNS Allow Remote Requests
Загрузка CPU DNS Allow Remote Requests

 

Видим, что у нас загрузка по DNS. 

Далее проверяем, что у нас включен Allow Remote Requests

 

Allow Remote Requests
Allow Remote Requests

Когда убедились, что проблема в открытом dns, переходим к созданию правил в Firewall

Создаём правило для закрытия порта внешних запросов DNS (Закрываем 53 порт) на Mikrotik  

 

DNS сервер отвечает на 53 порту по протоколу UDP.

Поэтому нужно создать правило Drop (сброс) для входящих пакетов (цепочка Chain = input) на 53 порт по протоколу UDP.

В нашем примере мы создаём входящее правило для списка (In. Interface List) входящих интерфейсов WAN.  

Если у вас нет списка, то можно создать правило для конкретного входящего интерфейса (In. Interface)

Это можно сделать через через утилиту Winbox. Подробнее про утилиту в нашей статье Подключение к MikroTik через WinBox.

Создать правило можно или через графический интерфейс, или командой

Команда

 ip firewall filter add chain=input protocol=udp dst-port=53 in-interface-list=WAN action=drop

 

Через графический интерфейс Winbox

Переходим на вкладку:  IP - Firewall

dns firewall 53 port
dns firewall 53 port

 

drop dns firewall 53 port
drop dns firewall 53 port

 

Проверяем работу правила блокировки внешних dns запросов (port 53, UDP)

Заходим снова в Tools - Profile и видим, что нагрузка по DNS пропала.

 

firewall dns drop check
Firewall dns drop check

Загрузка CPU DNS Allow Remote Requests
Загрузка CPU DNS Allow Remote Requests