logo


Mikrotik Routerboard firewall leid gebruik van bepaalde DNS-server om

Mikrotik Routerboard firewall leid gebruik van bepaalde DNS-server om

RouterOs Bios firmware
6.33 3.24

In bepaalde gevallen is het nodig om op uw netwerk door u bepaalde DNS-server te laten gebruiken. Je kan dit afdwingen met twee simpele firewall rules in de NAT instellingen. Zo wordt voorkomen dat bepaalde blokkades kunnen omzeild worden door gebruik te maken van andere DNS-servers.

Tip! Je kan het script kopieren en plakken in het new terminal venster van uw Routerboard. Hou rekening met uw Ip-range van uw netwerk en het IP-adres van de door u gebruikte DNS-server. Deze kan verschillen van dit voorbeeld. Je kan dit script eerst plakken in een tekst editor, bewerken en dan kopieren en plakken in het new terminal venster.

Simpel voorbeeld

Deze configuratie verplicht uw netwerk gebruik te maken van de DNS-server van Google 8.8.8.8 . Het "src-address" als voorbeeld hier 192.168.100.0 :24 is de IP-range van het netwerk. Dit kan bij u verschillen en moet bewerkt worden. De te bewerken IP-adressen staan in het rood in het script.

Het script

Forceer DNS-server op de volledige IP-range naar Google DNS 8.8.8.8
  • /ip firewall nat
  • add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.100.0/24 to-addresses=8.8.8.8 to-ports=53
  • add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address=192.168.100.0/24 to-addresses=8.8.8.8 to-ports=53

In zeer uitzonderlijke gevallen wordt er toch gebruik gemaakt van TCP port 53 voor DNS gebruik. Dit is de reden dat ik ook TCP port 53 forceer.

Werkwijze met screenshots

forcedns

  1. In het hoofdvester klik op "IP".
  2. Klik vervolgens op "firewall".

forcedns

  1. Klik op het tabblad "NAT".
  2. Klik op het blauw kruisje

forcedns

  1. Bij "chain" selecteer je "dstnat".
  2. Bij "Src-address" vul de IP-range van uw netwerk in met de /24 (subnetmask).
  3. Bij "protocol" selecteer je "UDP"
  4. Bij "Dst-port" vul je poort 53 in.
  5. Klik op het tabblad "action".

forcedns

  1. Bij "action" selecteer "dst-nat"
  2. Bij "to addresses" vul het IP-adres in van de door jou gekozen DNS-server. In dit voorbeeld Google DNS 8.8.8.8
  3. Bij "to ports" vul de poort 53 in.
  4. Klik vervolgens op "ok".

forcedns

  1. Bij "chain" selecteer je "dstnat".
  2. Bij "Src-address" vul de IP-range van uw netwerk in met de /24 (subnetmask).
  3. Bij "protocol" selecteer je "TCP"
  4. Bij "Dst-port" vul je poort 53 in.
  5. Klik op het tabblad "action".

forcedns

  1. Bij "action" selecteer "dst-nat"
  2. Bij "to addresses" vul het IP-adres in van de door jou gekozen DNS-server. In dit voorbeeld Google DNS 8.8.8.8
  3. Bij "to ports" vul de poort 53 in.
  4. Klik vervolgens op "ok".

Voorbeeld Ouderlijk toezicht door DNS-server te forceren naar Opendns.

forcedns

Een voorbeeld is het gebruik van Opendns waar je via deze weg adult en andere schadelijke sites kan blokkeren voor uw kinderen. In dit geval blokkeert Opendns vele websites, doch mag je er niet volledig op vertrouwen dat alles zal geblokkeerd worden. Ga ervan uit dat dit een basis is. Als je een account aanmaakt bij Opendns kan je verdere persoonlijke blokkages instellen. In dit voorbeeld worden 2 IP-adressen geblokkeerd voor een zoon en een dochter. Ze hebben een vast IP-adres op hun laptop.

Het script

Forceer DNS-server op bepaalde IP-adressen in het netwerk naar Opendns voor ouderlijk toezicht
  • /ip firewall nat
  • add action=dst-nat chain=dstnat comment=parent-control-laptop-zoon dst-port=53 protocol=tcp src-address=192.168.100.11/24 to-addresses=208.67.222.123 to-ports=53
  • add action=dst-nat chain=dstnat comment=parent-control-laptop-zoon dst-port=53 protocol=udp src-address=192.168.100.11/24 to-addresses=208.67.222.123 to-ports=53
  • add action=dst-nat chain=dstnat comment=parent-control-laptop-dochter dst-port=53 protocol=tcp src-address=192.168.100.12/24 to-addresses=208.67.222.123 to-ports=53
  • add action=dst-nat chain=dstnat comment=parent-control-laptop-dochter dst-port=53 protocol=udp src-address=192.168.100.12/24 to-addresses=208.67.222.123 to-ports=53

Top