Você pode configurar sua Firebox para encaminhar consultas DNS de computadores em sua rede para um servidor DNS. Por exemplo, você pode usar o redirecionamento DNS para enviar consultas DNS de uma filial para um servidor DNS remoto na sede.
Você pode ativar o encaminhamento DNS a partir da Fireware Web UI, Policy Manager e da CLI. Você também pode adicionar regras de encaminhamento de DNS condicional. Essas regras permitem que você envie consultas DNS para diferentes servidores DNS com base no nome do domínio na consulta.
Reencaminhamento DNS condicional pode resultar em tempos de resposta mais rápidos às consultas ao DNS. Se você tiver recursos na nuvem, seus usuários podem se conectar a esses recursos mais rapidamente, porque:
- Alguns provedores de serviços na nuvem usam a geolocalização para selecionar a qual centro de dados você se conecta. Quando você se conecta a um servidor DNS próximo à sua localização, seu provedor de nuvem pode conectá-lo ao seu centro de dados mais próximo.
- O Firebox armazena os resultados das consultas DNS.
No Fireware v11.12.1 ou inferior, você só pode habilitar o encaminhamento DNS a partir da linha de comando, e o encaminhamento DNS condicional não é suportado. Se você ativou o encaminhamento DNS antes de atualizar para o Fireware v11.12.2, o encaminhamento DNS permanece ativado, mas a funcionalidade muda, como descrito neste tópico.
Para instruções para habilitar o encaminhamento DNS no Fireware v11.12.1 ou inferior, veja Como habilitar o encaminhamento DNS na Base de Conhecimento do WatchGuard.
Servidores DNS em sua Firebox
Esses servidores DNS podem estar configurados em sua Firebox:
- Servidor DNS da rede – Servidor DNS padrão para todas as interfaces e processos locais no Firebox
- Servidor DNS da interface – Servidor DNS para as interfaces que você especificar
- Servidor DNS condicional – Servidor DNS para os nomes de domínio e interfaces que você especificar em uma regra de encaminhamento DNS
- Servidor DNS obtido do seu ISP – Quando o seu Firebox é configurado como cliente DHCP ou cliente PPPoE
- Servidor DNS quando o DNSWatch está habilitado, em alguns casos
Cada servidor DNS tem um propósito diferente e é configurado em um local diferente nas configurações do Firebox.
Alguns servidores DNS têm precedência sobre outros. Quando activa uma regra de Encaminhamento DNS, tenha em atenção que:
- Os servidores DNS Condicionais têm precedência sobre o servidor DNS de Rede e os servidores DNSWatch.
- O servidor DNS da Interface tem precedência sobre o servidor DNS Condicional.
Para mais informações sobre a precedência do servidor DNS, consulte Acerca do DNS no Firebox.
Como funciona
Pode activar o reencaminhamento DNS, e o reencaminhamento DNS condicional, nestes modos de rede:
- Modo de encaminhamento misto
- Modo drop-in
- Modo bridge
Quando activa o encaminhamento DNS:
- Tem de seleccionar uma ou mais interfaces Trusted, Optional, ou Custom para participar no encaminhamento DNS.
- Os processos locais no Firebox usam o Firebox como servidor DNS.
- O Firebox armazena os resultados das consultas DNS (até 10.000 entradas).
- Se você não adicionar regras de encaminhamento DNS condicional, as consultas DNS enviadas para o endereço IP local do Firebox são encaminhadas para o servidor DNS da rede que você especificou. O Firebox armazena os resultados dessas consultas.
- Se você configurar o Firebox para ser um servidor DHCP, os clientes DHCP na sua rede usam automaticamente o endereço IP da interface como servidor DNS, a menos que você especifique um servidor DNS nas configurações do servidor DHCP.
- Tráfego DNS enviado das interfaces configuradas para o encaminhamento DNS para o Firebox é permitido. A política DNS e a política de proxy DNS só se aplicam ao tráfego DNS de passagem.
- Se você configurar uma interface Firebox para ser um servidor DHCP, e a interface estiver configurada para encaminhamento DNS:
- Se você não especificar um servidor DNS nas configurações do DHCP, o servidor DHCP fornecerá automaticamente o endereço IP da interface Firebox como servidor DNS. Se você especificar um servidor DNS diferente do endereço IP da interface Firebox nas configurações DHCP, o servidor DHCP fornecerá automaticamente o endereço IP do servidor DNS que você especificou. O redirecionamento DNS não ocorre.
O Firebox pode processar até 10.000 solicitações DNS ao mesmo tempo.
Se você ativar o registro para o encaminhamento DNS, a Firebox gerará uma mensagem de registro quando o encaminhamento DNS ocorrer.
Se você tiver uma conexão de interface virtual BOVPN entre os sites, e configurar o encaminhamento DNS, você deverá adicionar um endereço IP de interface virtual nas configurações da interface virtual BOVPN para que o encaminhamento DNS funcione através da VPN. O endereço IP da interface virtual é necessário porque o servidor DNS deve encaminhar o tráfego de volta para esse endereço IP. Para obter mais informações sobre endereços IP da interface virtual, consulte Configurar endereços IP da interface virtual BOVPN.
No Fireware v12.4 ou superior, você pode habilitar o DNSWatch no Modo Bridge. Para que o Firebox resolva nomes de hosts em domínios locais, você deve criar regras de encaminhamento DNS para domínios locais que especifiquem os servidores DNS locais.
Encaminhamento DNS Condicional
Você pode adicionar regras de encaminhamento DNS condicional. Quando você adiciona uma regra de encaminhamento, o Firebox usa informações em cache para responder a uma consulta DNS, ou encaminha a consulta para um servidor DNS especificado na regra.
Por exemplo, em uma filial Firebox que tem uma conexão VPN para a sede, você pode configurar as configurações de DNS para:
- Reencaminhar consultas DNS para o domínio interno exemplo.com através da VPN para o servidor DNS na sede.
- Reencaminhar todas as outras consultas DNS para um servidor DNS público que esteja fisicamente mais próximo da filial.
Configuração
Quando activa o reencaminhamento DNS condicional na sua Firebox, pode adicionar regras de reencaminhamento DNS. Para cada regra de encaminhamento DNS, você especifica estas configurações:
Nome do domínio
Adicionar um ou mais nomes de domínio. Não há limite para o número de nomes de domínio que você pode especificar. Nomes de domínio mais específicos têm precedência. A ordem dos nomes de domínio não importa.
Servidor DNS
Specifique um servidor DNS. Consultas para o nome de domínio que você adicionou são enviadas para o servidor DNS que você especificar. Você pode adicionar até quatro servidores DNS para cada nome de domínio. O Firebox contacta o primeiro servidor DNS da lista, e contacta os outros servidores DNS conforme necessário.
Exemplo
Neste exemplo, uma filial tem um Firebox configurado como servidor DHCP. Um servidor DNS de interface não está especificado nas configurações do servidor DHCP. O servidor DNS interno está na rede do escritório central. No Firebox da filial, uma regra de encaminhamento DNS condicional envia consultas por exemplo.com para o servidor DNS da sede. Todas as outras consultas DNS são enviadas para o servidor DNS da rede especificado no Firebox.
Como funciona:
- Na filial, um cliente DHCP na rede envia uma consulta DNS para o domínio exemplo.com.
- O Firebox recebe a consulta e examina o seu cache DNS.
- Se o cache não contém uma entrada por exemplo.com, o Firebox examina sua lista de encaminhamento DNS.
- Se o exemplo.com está incluído na lista de encaminhamento DNS, o Firebox encaminha a consulta para o servidor DNS especificado para esse nome de domínio.
No nosso exemplo, a consulta é encaminhada para o servidor DNS remoto da sede, 10.50.1.253. - Se o exemplo.com não estiver incluído na lista de encaminhamento DNS, o Firebox encaminha a consulta DNS para o servidor DNS da rede, que é 4.2.2.1 no nosso exemplo.
Estas imagens mostram as configurações de encaminhamento DNS e DNS da rede para o nosso exemplo:
Configurações de encaminhamento DNS na UI Web
Configurações de encaminhamento DNS no Policy Manager
No Fireware v12.6.4 ou superior, você pode desabilitar o cache DNS. Para mais informações, consulte Sobre DNS no Firebox.
Ver Também
Configurar servidores DNS e WINS de rede
>
Configurar servidores DNS e WINS para VPN móvel com IPSec
>
Sobre DNS no Firebox
>
Sobre DNS no WatchGuard DNSWatch