DNS解析通常依赖于标准的UDP 53端口进行数据传输。我们改造的方案是在内网环境中,把用户的DNS查询请求首先发送到本地搭建的DNS服务器,该服务器再通过TCP协议的DNS over HTTPS(DoH)向外部进行解析。
DoH通过加密的HTTPS连接传输DNS查询和响应,提供更高的安全性和隐私保护。查询信息被加密,防止第三方监控或篡改,保护用户的网络活动。用户通过DoH进行解析时,请求和响应数据均经过TLS加密,确保在传输过程中不被窃取或篡改。
这一机制不仅提升了数据安全性,也使DNS查询更加隐蔽,从而降低了被监控的风险。通过这种结构,用户可以享受到快速且安全的DNS解析体验。
(如上图中就强制DNS采用DoH)
DoH的设置指南
以下是在MikroTik RouterOS上实现只需要简单三步。
第一步:劫持所有UDP 53流量到本地DNS服务
为了防止DNS泄露,我们需要将所有UDP和TCP的53端口流量重定向到本地DNS服务。执行以下命令:
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="DNS"
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="DNS"第二步:启用本地DNS服务器并取消传统上级DNS设置
接下来,我们启用本地DNS服务器并取消默认的上级DNS服务器配置:
/ip dns set allow-remote-requests=yes
/ip dns set servers=""第三步:设置DoH服务器
最后,我们需要指定使用DoH服务器。请注意,输入时需使用IP地址,而不是域名形式:
/ip dns set use-doh-server=https://1.12.12.12/dns-query
或者
/ip dns set use-doh-server=https://223.5.5.5/dns-query总结
通过以上三个简单步骤,我们成功地将MikroTik RouterOS的DNS解析强制转向DNS over HTTPS。这一过程不仅提升了DNS查询的安全性,还有效保护了用户的隐私。随着网络安全威胁的增加,采取这样的措施是非常必要的。希望这篇指南能帮助你顺利完成设置,让你的网络环境更加安全可靠!如果你有任何问题,欢迎随时留言讨论。