Configurando no pfSense® uma lista de dispositivos isentos do controle de acesso
Este artigo explica como criar uma regra de encaminhamento de portas NAT no pfSense®, para redirecionar as consultas DNS dos dispositivos listados para um servidor DNS de escolha, seja ele interno ou externo. No contexto da criação de uma lista de dispositivos isentos do controle de acesso do Lumiun DNS, essa regra tem o propósito de redirecionar as consultas DNS para outros servidores, em vez de direcioná-las para os servidores do Lumiun DNS, como é feito com os demais dispositivos controlados.
nslookup
google.com
192.168.0.1
a partir de algum computador da sua rede, substituindo o 192.168.0.1 pelo IP do seu pfSense®.Este artigo possui duas formas de configurar a lista de dispositivos isentos. A primeira é destinada para o caso de você possuir um servidor DNS interno que responda pelo domínio da rede local (Servidor AD). A segunda parte é para o caso de você não ter um servidor DNS interno.
Com servidor DNS Interno
Habilitar NAT automático de reflexão
- Acesse o menu Sistema → Avançado → Firewall & NAT
- Habilite a opção Habilita a saída de NAT automatica para Reflexão
- Salve a configuração clicando no botão Salvar.
Evitar a filtragem das consultas originadas pelo servidor DNS do seu domínio interno
- Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
- Clique no botão Adicionar
- Preencha os dados:
- Dispositivo: LAN
- Protocolo: TCP/UDP
- Clique no botão Exibir Avançado, na seção Origem.
- Origem - Tipo: Host único ou alias
- Origem - Endereço: ip do servidor DNS do domínio interno (AD)
- Destino - Tipo: Qualquer
- Intervalo de portas de destino - Da porta: DNS
- Intervalo de portas de destino - Para porta: DNS
- Redirecionar IP de destino - Tipo: Host único
- Redirecionar IP de destino - Endereço:
8.8.8.8
- Redirecionar porta de destino - Porta: DNS
- Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Configurar no serviço DNS do pfSense® o encaminhamento condicional de DNS com base no domínio interno
- Acesse o menu Serviços → DNS Forwarder ou Serviços → DNS Forwarder, de acordo com qual serviço estiver em uso no seu pfSense
- Mais abaixo na página, na seção Sobreescrever domínio, clique no botão Adicionar
- Preencha os dados:
- Dominio: o domínio da sua rede interna
- Endereço IP: ip do servidor DNS do domínio interno (AD)
- Salve a configuração clicando no botão Salvar.
Criar a lista de exceções (dispositivos isentos da filtragem)
- Acesse o menu Firewall → Aliases
- Clique em Adicionar
- Preencha os dados
- Nome =
dns_liberado
ou o nome que preferir - Tipo = Host(s)
- IP = IP de um dispositivo que não terá tráfego DNS redirecionado
- Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
- Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Criar a regra NAT para evitar a filtragem DNS dos dispositivos isentos
- Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
- Clique no botão Adicionar
- Preencha os dados:
- Dispositivo: LAN
- Protocolo: TCP/UDP
- Clique no botão Exibir Avançado, na seção Origem.
- Origem - Tipo: Host único ou alias
- Origem - Endereço:
dns_liberado
- Destino - Tipo: Este Firewall (o próprio)
- Intervalo de portas de destino - Da porta: DNS
- Intervalo de portas de destino - Para porta: DNS
- Redirecionar IP de destino - Tipo: Host único
- Redirecionar IP de destino - Endereço: endereço IP do servidor AD
- Redirecionar porta de destino - Porta: DNS
- Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Pronto! A configuração está pronta.
Sem servidor DNS interno
Criar a lista de exceções (dispositivos isentos da filtragem)
- Acesse o menu Firewall → Aliases
- Clique em Adicionar
- Preencha os dados
- Nome =
dns_liberado
ou o nome que preferir - Tipo = Host(s)
- IP = IP de um dispositivo que não terá tráfego DNS redirecionado
- Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
- Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Criar a regra NAT para evitar a filtragem DNS dos dispositivos isentos
- Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
- Clique no botão Adicionar
- Preencha os dados:
- Dispositivo: LAN
- Protocolo: TCP/UDP
- Clique no botão Exibir Avançado, na seção Origem.
- Origem - Tipo: Host único ou alias
- Origem - Endereço:
dns_liberado
- Destino - Tipo: Qualquer
- Intervalo de portas de destino - Da porta: DNS
- Intervalo de portas de destino - Para porta: DNS
- Redirecionar IP de destino - Tipo: Host único
- Redirecionar IP de destino - Endereço: _IP de um servidor DNS externo, por exemplo:
8.8.8.8
_ - Redirecionar porta de destino - Porta: DNS
- Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Pronto! A configuração está pronta.
Atualizado em: 31/07/2024
Obrigado!