Puede configurar su Firebox para que reenvíe las consultas DNS de los equipos de su red a un servidor DNS. Por ejemplo, puede utilizar el reenvío de DNS para enviar las consultas DNS de una sucursal a un servidor DNS remoto en la sede central.

Puede habilitar el reenvío de DNS desde la interfaz web de Fireware, el administrador de políticas y la CLI. También puede añadir reglas de reenvío de DNS condicionales. Estas reglas le permiten enviar consultas DNS a diferentes servidores DNS en función del nombre de dominio en la consulta.

El reenvío de DNS condicional puede dar lugar a tiempos de respuesta más rápidos a las consultas de DNS. Si tiene recursos en la nube, sus usuarios pueden conectarse a esos recursos más rápidamente, porque:

  • Algunos proveedores de servicios en la nube utilizan la geolocalización para seleccionar a qué centro de datos se conecta. Cuando se conecta a un servidor DNS cercano a su ubicación, su proveedor de nube puede conectarle a su centro de datos más cercano.
  • El Firebox almacena en caché los resultados de las consultas DNS.

En Fireware v11.12.1 o inferior, sólo puede habilitar el reenvío de DNS desde la línea de comandos, y el reenvío de DNS condicional no es compatible. Si habilitó el reenvío de DNS antes de actualizar a Fireware v11.12.2, el reenvío de DNS sigue habilitado, pero la funcionalidad cambia, como se describe en este tema.
Para obtener instrucciones para habilitar el reenvío de DNS en Fireware v11.12.1 o inferior, consulte Cómo habilitar el reenvío de DNS en la Base de conocimientos de WatchGuard.

Servidores DNS en su Firebox

Estos servidores DNS podrían estar configurados en su Firebox:

  • Servidor DNS de red – Servidor DNS predeterminado para todas las interfaces y procesos locales del Firebox
  • Servidor DNS de interfaz – Servidor DNS para las interfaces que especifique
  • Servidor DNS condicional – Servidor DNS para los nombres de dominio e interfaces que especifique en una regla de reenvío DNS
  • Servidor DNS obtenido de su ISP – Cuando su Firebox está configurado como cliente DHCP o cliente PPPoE
  • Servidor DNSWatch – Servidor DNS cuando DNSWatch está activado, en algunos casos

Cada servidor DNS tiene un propósito diferente y se configura en una ubicación diferente en la configuración del Firebox.

Algunos servidores DNS tienen prioridad sobre otros. Cuando habilite una regla de reenvío de DNS, tenga en cuenta que:

  • Los servidores DNS condicionales tienen prioridad sobre el servidor DNS de red y los servidores DNSWatch.
  • El servidor DNS de interfaz tiene prioridad sobre el servidor DNS condicional.

Para obtener más información sobre la precedencia de los servidores DNS, consulte Acerca de DNS en el Firebox.

Cómo funciona

Puede habilitar el reenvío de DNS, y el reenvío de DNS condicional, en estos modos de red:

  • Modo de enrutamiento mixto
  • Modo drop-in
  • Modo puente

Cuando se habilita el reenvío de DNS:

  • Debe seleccionar una o más interfaces de confianza, opcionales o personalizadas para participar en el reenvío de DNS.
  • Los procesos locales del Firebox utilizan el Firebox como servidor DNS.
  • El Firebox almacena en caché los resultados de las consultas DNS (hasta 10.000 entradas).
  • Si no añade reglas de reenvío DNS condicional, las consultas DNS enviadas a la dirección IP local del Firebox se reenvían al servidor DNS de red que haya especificado. El Firebox almacena en caché los resultados de estas consultas.
  • Si configura el Firebox para que sea un servidor DHCP, los clientes DHCP de su red utilizan automáticamente la dirección IP de la interfaz como servidor DNS, a menos que especifique un servidor DNS en la configuración del servidor DHCP.
  • Se permite el tráfico DNS enviado desde las interfaces configuradas para el reenvío de DNS al Firebox. La política DNS y la política de proxy DNS sólo se aplican al tráfico DNS de paso.
  • Si configura una interfaz del Firebox para que sea un servidor DHCP y la interfaz está configurada para el reenvío de DNS:
    • Si no especifica un servidor DNS en la configuración del DHCP, el servidor DHCP da automáticamente la dirección IP de la interfaz del Firebox como servidor DNS. Se produce el reenvío de DNS.
    • Si especifica un servidor DNS distinto de la dirección IP de la interfaz del Firebox en la configuración DHCP, el servidor DHCP da automáticamente la dirección IP del servidor DNS especificado. El reenvío de DNS no se produce.

El Firebox puede procesar hasta 10.000 peticiones DNS al mismo tiempo.

Si habilita el registro para el reenvío de DNS, el Firebox genera un mensaje de registro cuando se produce el reenvío de DNS.

Si tiene una conexión de interfaz virtual BOVPN entre sitios y configura el reenvío de DNS, debe añadir una dirección IP de interfaz virtual en la configuración de la interfaz virtual BOVPN para que el reenvío de DNS funcione a través de la VPN. La dirección IP de la interfaz virtual es necesaria porque el servidor DNS debe reenviar el tráfico a esa dirección IP. Para obtener más información sobre las direcciones IP de la interfaz virtual, consulte Configuración de las direcciones IP de la interfaz virtual BOVPN.

En Fireware v12.4 o superior, puede habilitar DNSWatch en el modo puente. Para que el Firebox resuelva nombres de host en dominios locales, debe crear reglas de reenvío DNS para dominios locales que especifiquen los servidores DNS locales.

Reenvío de DNS condicional

Puede añadir reglas de reenvío de DNS condicional. Cuando añade una regla de reenvío, el Firebox utiliza la información almacenada en caché para responder a una consulta DNS, o bien reenvía la consulta a un servidor DNS especificado en la regla.

Por ejemplo, en un Firebox de una sucursal que tiene una conexión VPN con la sede central, puede configurar las opciones de DNS para:

  • Reenviar las consultas DNS para el dominio interno example.com a través de la VPN al servidor DNS de la sede central.
  • Reenviar todas las demás consultas DNS a un servidor DNS público que esté físicamente más cerca de la sucursal.

Configuración

Cuando habilita el reenvío DNS condicional en su Firebox, puede añadir reglas de reenvío DNS. Para cada regla de reenvío de DNS, se especifican estas opciones:

Nombre de dominio

Añada uno o más nombres de dominio. No hay límite en el número de nombres de dominio que puede especificar. Los nombres de dominio más específicos tienen prioridad. El orden de los nombres de dominio no importa.

Servidor DNS

Especifica un servidor DNS. Las consultas del nombre de dominio que ha añadido se envían al servidor DNS que ha especificado. Puede añadir hasta cuatro servidores DNS para cada nombre de dominio. El Firebox se pone en contacto con el primer servidor DNS de la lista, y se pone en contacto con los demás servidores DNS según sea necesario.

Ejemplo

En este ejemplo, una sucursal tiene un Firebox configurado como servidor DHCP. No se ha especificado un servidor DNS de interfaz en la configuración del servidor DHCP. El servidor DNS interno está en la red de la oficina central. En el Firebox de la sucursal, una regla de reenvío DNS condicional envía las consultas para example.com al servidor DNS de la sede. Todas las demás consultas DNS se envían al servidor DNS de la red especificado en el Firebox.

Cómo funciona:

  1. En la sucursal, un cliente DHCP de la red envía una consulta DNS para el nombre de dominio example.com.
  2. El Firebox recibe la consulta y examina su caché DNS.
  3. Si la caché no contiene una entrada para example.com, el Firebox examina su lista de reenvío de DNS.
  4. Si example.com está incluido en la lista de reenvío de DNS, el Firebox reenvía la consulta al servidor DNS especificado para ese nombre de dominio.
    En nuestro ejemplo, la consulta se reenvía al servidor DNS remoto de la sede central, 10.50.1.253.
  5. Si ejemplo.com no está incluido en la lista de Reenvío DNS, el Firebox reenvía la consulta DNS al servidor DNS de la red, que es 4.2.2.1 en nuestro ejemplo.

Estas imágenes muestran la configuración de DNS de red y de reenvío de DNS para nuestro ejemplo:

Configuración de reenvío de DNS en la Web UI

Configuración de reenvío de DNS en Policy Manager

En Fireware v12.6.4 o superior, puede desactivar la caché de DNS. Para obtener más información, consulte Acerca de DNS en el Firebox.

Vea también

Configurar servidores DNS y WINS de red

Configurar servidores DNS y WINS para VPN móvil con IPSec

Acerca de DNS en el Firebox

Acerca de WatchGuard DNSWatch

.

Articles

Deja una respuesta

Tu dirección de correo electrónico no será publicada.