В данной статье рассмотрим ситуацию, когда на маршрутизаторе Mikrotik внешние DNS запросы сильно грузят процессор. Для решения создадим правила для блокировки входящих запросов на 53 порт по протоколу UDP
Содержание
- Введение
- Описание тестового стенда
- Проверяем что именно грузит процессор
- Создаём правило для закрытия внешних запросов на DNS (Закрываем 53 порт) на Mikrotik
- Проверяем работу правила блокировки внешних dns запросов (port 53, UDP)
Введение
Часто встречается ситуация, когда нагрузка на процессор резко увеличивается хотя особо "никто ничего не делает".
Один из вариантов - это когда микротик (Mikrotik) используется как DNS сервер (Allow Remote Requests) и у него разрешены DNS запросы извне.
Нагрузка получается из-за того, что на наш маршрутизатор поступает большое кол-во запросов на разрешения dns-имён (resolve dns).
Для решения этой проблемы нужно просто запретить внешние запросы на разрешения dns-имён.
Это мы будем делать через создание правила в Firewall
Описание тестового стенда
- Роутер Mikrotik
- DNS сервер настроен на Allow Remote Requests
Проверяем что именно грузит процессор на Mikrotik
Через утилиту Winbox заходим в Tools - Profile
Видим, что у нас загрузка по DNS.
Далее проверяем, что у нас включен Allow Remote Requests
Когда убедились, что проблема в открытом dns, переходим к созданию правил в Firewall
Создаём правило для закрытия порта внешних запросов DNS (Закрываем 53 порт) на Mikrotik
DNS сервер отвечает на 53 порту по протоколу UDP.
Поэтому нужно создать правило Drop (сброс) для входящих пакетов (цепочка Chain = input) на 53 порт по протоколу UDP.
В нашем примере мы создаём входящее правило для списка (In. Interface List) входящих интерфейсов WAN.
Если у вас нет списка, то можно создать правило для конкретного входящего интерфейса (In. Interface)
Это можно сделать через через утилиту Winbox. Подробнее про утилиту в нашей статье Подключение к MikroTik через WinBox.
Создать правило можно или через графический интерфейс, или командой
Команда
ip firewall filter add chain=input protocol=udp dst-port=53 in-interface-list=WAN action=drop
Через графический интерфейс Winbox
Переходим на вкладку: IP - Firewall
Проверяем работу правила блокировки внешних dns запросов (port 53, UDP)
Заходим снова в Tools - Profile и видим, что нагрузка по DNS пропала.