Bloqueo de sites por DNS

Criada por Danilo Tomich, Modificado em Seg, 4 Ago na (o) 5:14 PM por Danilo Tomich

OBJETIVO:

Mikrotik resolve os domínios (DNS local).
Todos os clientes usam o Mikrotik como DNS.
DNS externo (ex: 8.8.8.8) bloqueado.

? PASSO A PASSO:

TIVAR DNS LOCAL NO MIKROTIK

bashCopiarEditar/ip dns set allow-remote-requests=yes

Isso permite que clientes da rede façam consultas DNS ao próprio Mikrotik.

2️⃣ DEFINIR SERVIDORES DNS (com filtro ou não)

▶️ Usar OpenDNS FamilyShield (bloqueia pornografia):

bashCopiarEditar/ip dns set servers=208.67.222.123,208.67.220.123

▶️ Ou usar AdGuard (bloqueia porn + anúncios):

bashCopiarEditar/ip dns set servers=94.140.14.15,94.140.15.16

▶️ Ou usar DNS padrão (Google, Cloudflare):

bashCopiarEditar/ip dns set servers=8.8.8.8,1.1.1.1

3️⃣ FORÇAR TODOS CLIENTES A USAR O DNS DO MIKROTIK

No DHCP Server, configure para fornecer IP do Mikrotik como DNS:

bashCopiarEditar/ip dhcp-server network
set [find] dns-server=192.168.88.1

Substitua 192.168.88.1 pelo IP da interface LAN do Mikrotik.

4️⃣ BLOQUEAR QUALQUER DNS EXTERNO (opcional, mas recomendável)

Para UDP (mais comum):

bashCopiarEditar/ip firewall filter add chain=forward protocol=udp dst-port=53 action=drop dst-address=!192.168.88.1 comment="Bloquear DNS externo UDP"

Para TCP (menos comum, mas importante):

bashCopiarEditar/ip firewall filter add chain=forward protocol=tcp dst-port=53 action=drop dst-address=!192.168.88.1 comment="Bloquear DNS externo TCP"

Substitua 192.168.88.1 pelo IP do Mikrotik da sua rede.

5️⃣ (Opcional) REDIRECIONAR consultas DNS para Mikrotik automaticamente

Se quiser ser agressivo e redirecionar tudo que for porta 53 para o Mikrotik:

bashCopiarEditar/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Forçar uso do DNS local"

? TESTE FINAL:

No cliente, defina DNS como automático.
Acesse sites comuns e bloqueados.
Verifique se a regra de firewall está bloqueando DNS externo.
Acesse /ip dns cache para ver o Mikrotik resolvendo nomes.

✅ Resultado:

? Agora, todo tráfego DNS passa por você, e você pode:

Filtrar com OpenDNS/AdGuard
Criar entradas estáticas (ex: blackhole de facebook.com)
Bloquear listas de pornografia, jogos, etc.

COMO BLOQUEAR SITES USANDO O DNS LOCAL DO MIKROTIK

O Mikrotik permite criar entradas DNS estáticas para domínios específicos. Assim, você faz com que eles resolvam para IP falso, e os dispositivos não conseguem abrir o site.

? Exemplo: Bloquear `facebook.com` e `www.facebook.com`

bashCopiarEditar/ip dns static add name=facebook.com address=127.0.0.1 add name=www.facebook.com address=127.0.0.1

Isso faz com que, quando o cliente tentar acessar facebook.com, ele receba resposta falsa (127.0.0.1 = localhost), e o site não carrega.

? Para bloquear sites pornográficos, você pode adicionar vários domínios conhecidos:

bashCopiarEditar/ip dns static add name=xvideos.com address=127.0.0.1 add name=www.xvideos.com address=127.0.0.1 
add name=xnxx.com address=127.0.0.1 add name=www.xnxx.com address=127.0.0.1 
add name=redtube.com address=127.0.0.1 add name=www.redtube.com address=127.0.0.1 
add name=porntube.com address=127.0.0.1 add name=www.porntube.com address=127.0.0.1 
add name=pornhub.com address=127.0.0.1 add name=www.pornhub.com address=127.0.0.1

? Quer automatizar isso?

Sim! Você pode importar uma lista maior de domínios ou usar scripts.

? Exemplo de script para bloquear por lista:

bashCopiarEditar:foreach site in={"xvideos.com";"xnxx.com";"redtube.com";"porntube.com";"pornhub.com"} do={  /ip dns static add name=$site address=127.0.0.1  /ip dns static add name=("www." . $site) address=127.0.0.1 }

? Como testar:

Vá em um computador conectado à rede.
Abra o terminal (CMD ou Terminal do Linux).
Digite:

bashCopiarEditarnslookup xvideos.com

Deve retornar:

bashCopiarEditarName: xvideos.com Address: 127.0.0.1

Se sim ✅, está bloqueado.

❗ Lembre-se:

Isso só funciona se os clientes usarem o Mikrotik como DNS — e você já fez isso!

Se quiser, posso gerar uma lista .rsc com os 100 sites mais acessados de conteúdo adulto bloqueados automaticamente. Deseja?

Dito por si:

e instagram?

Dito pelo ChatGPT:

Perfeito! Para bloquear o Instagram pelo DNS local do Mikrotik, você pode usar o mesmo método que já configurou: entradas DNS estáticas apontando os domínios principais do Instagram para 127.0.0.1.

✅ Domínios principais do Instagram:

Esses são os domínios que o aplicativo e o navegador usam para carregar o Instagram:

bashCopiarEditar/ip dns static add name=instagram.com address=127.0.0.1 add name=www.instagram.com address=127.0.0.1 add name=scontent.cdninstagram.com address=127.0.0.1 add name=cdninstagram.com address=127.0.0.1 add name=graph.instagram.com address=127.0.0.1 add name=i.instagram.com address=127.0.0.1 add name=static.cdninstagram.com address=127.0.0.1

? Isso bloqueia acesso via navegador e também bloqueia a maioria das chamadas do app, pois ele depende do graph.instagram.com, i.instagram.com, etc.

? Bloqueio ainda mais forte (opcional):

Você também pode bloquear todos os domínios relacionados ao Facebook, pois o Instagram é propriedade da Meta.

bashCopiarEditar/ip dns static add name=fbcdn.net address=127.0.0.1 add name=www.fbcdn.net address=127.0.0.1 add name=facebook.net address=127.0.0.1 add name=edge-mqtt.facebook.com address=127.0.0.1

? Testar o bloqueio:

No cliente, rode:

bashCopiarEditarnslookup instagram.com

Se retornar:

bashCopiarEditarAddress: 127.0.0.1

✅ Está bloqueado com sucesso.

⚠️ IMPORTANTE:

Se o cliente estiver usando DNS-over-HTTPS (DoH) no navegador ou no app, ele vai burlar o bloqueio.

✅ Para evitar isso:

Bloqueie ou redirecione todas as portas 53 (DNS) para o Mikrotik.
Bloqueie o protocolo QUIC (UDP/443) que o Instagram e o Chrome usam para burlar inspeção.

Exemplo:

bashCopiarEditar/ip firewall filter add chain=forward protocol=udp port=443 action=drop comment="Bloquear QUIC (UDP/443)"

Se quiser, posso gerar um .rsc pronto com:

Todos os domínios do Instagram, Facebook, TikTok, etc.
Bloqueio de QUIC
Regras de DNS locais