RouterOS DNS劫持配置避坑指南

RouterOS 的 DNS 劫持功能在日常运维中非常实用，可以强制内网所有设备使用指定的 DNS 服务器，避免用户自行修改 DNS 导致访问异常。但在实际配置过程中，有不少细节容易被忽略，本文将结合实操经验分享几个关键步骤和常见避坑事项。 首先，确认 RouterOS 自身能够正常解析域名。进入终端执行 `ping www.baidu.com`，如果能通说明设备本身 DNS 没问题。如果 ping 不通，先检查 `/ip dns` 中的 `servers` 配置，一般建议填写 223.5.5.5 和 119.29.29.29 这类国内公共 DNS。同时务必勾选 `Allow Remote Requests`，否则 RouterOS 无法为内网设备提供 DNS 解析服务。 接下来配置 NAT 规则实现 DNS 劫持。进入 `/ip firewall nat` 添加规则。常见的做法是新建两条规则。第一条用于劫持 TCP 端口的 DNS 请求，第二条负责 UDP 端口的主流 DNS 请求。配置参数基本一致：Chain 选择 `dstnat`，Protocol 分别选择 `6 (tcp)` 和 `17 (udp)`，Dst. Port 填 `53`，In. Interface 选择内网桥接口，Action 选择 `dst-nat`，To Addresses 填 RouterOS 自身的 LAN 接口 IP 地址。注意这里不是填公网 DNS 地址，而是填路由器自己的内网 IP，这样请求会被重定向到 RouterOS 本身的 DNS 服务。 第一条避坑要点：两条规则的位置非常重要。在 NAT 规则列表中，上面的规则优先匹配。如果存在其他 dstnat 规则，需要确保 DNS 劫持规则排在它们之前，否则可能被其他规则先命中而失效。可以用 `move` 命令调整规则顺序。 第二条避坑要点：In. Interface 一定要正确。很多人习惯填 `all-ethernet` 或者留空，但这会导致来自外网的 DNS 请求也被劫持，把你的路由器变成开放 DNS 解析器，不仅浪费带宽，还存在安全隐患。务必指定内网桥接口。 第三条避坑要点：如果你的 RouterOS 开启了 Hotspot 或 DHCP Server，Hotspot 会强制使用自身的 DNS 逻辑，此时 NAT 劫持规则可能会与 Hotspot 内部的 DNS 处理产生冲突。这种情况下建议在 Hotspot 的 DNS Servers 配置中直接指定 DNS 地址，而不是依赖 NAT 劫持。 第四条避坑要点：IPv6 环境需要单独处理。NAT 劫持对 IPv6 通常不适用，需要额外配置 `/ipv6 firewall filter`，通过 address-list 和 reject 的方式阻止对外部 DNS 的 IPv6 访问，引导设备使用 RouterOS 提供的 IPv6 DNS 地址。 配置完成后在内网一台电脑上手动设置 DNS 为 8.8.8.8，用浏览器访问网页，如果能正常打开说明劫持生效。也可以在 RouterOS 的 `/ip dns cache` 中查看是否有新增的缓存记录。 最后提醒：如果后续修改了 RouterOS 的 LAN 接口 IP，记得同步更新 DNS 劫持规则中的 To Addresses 地址，否则劫持规则会失效，内网设备可能出现无法上网的情况。