Configurando no pfSense uma lista de dispositivos isentos do controle de acesso
Este artigo explica como criar uma regra de encaminhamento de portas NAT no pfSense, para redirecionar as consultas DNS dos dispositivos listados para um servidor DNS de escolha, seja ele interno ou externo. No contexto da criação de uma lista de dispositivos isentos do controle de acesso do Lumiun DNS, essa regra tem o propósito de redirecionar as consultas DNS para outros servidores, em vez de direcioná-las para os servidores do Lumiun DNS, como é feito com os demais dispositivos controlados.
Antes de fazer essa configuração, certifique-se de que o serviço DNS do seu pfSense está funcionando. Para testar, use um comando como nslookup google.com 192.168.0.1 a partir de algum computador da sua rede, substituindo o 192.168.0.1 pelo IP do seu pfSense.
Essa configuração será eficaz para dispositivos que utilizam apenas o pfSense como servidor DNS.
Com servidor DNS interno
Sem servidor DNS interno
Acesse o menu Sistema → Avançado → Firewall & NAT
Habilite a opção Habilita a saída de NAT automatica para Reflexão
Salve a configuração clicando no botão Salvar.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: ip do servidor DNS do domínio interno (AD)
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: 8.8.8.8
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Acesse o menu Serviços → DNS Forwarder ou Serviços → DNS Forwarder, de acordo com qual serviço estiver em uso no seu pfSense
Mais abaixo na página, na seção Sobreescrever domínio, clique no botão Adicionar
Preencha os dados:
Dominio: o domínio da sua rede interna
Endereço IP: ip do servidor DNS do domínio interno (AD)
Salve a configuração clicando no botão Salvar.
Acesse o menu Firewall → Aliases
Clique em Adicionar
Preencha os dados
Nome = dns_liberado ou o nome que preferir
Tipo = Host(s)
IP = IP de um dispositivo que não terá tráfego DNS redirecionado
Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: dns_liberado
Destino - Tipo: Este Firewall (o próprio)
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: endereço IP do servidor AD
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Pronto! A configuração está pronta.
Importante: certifique-se de que o seu pfSense receba consultas DNS somente da sua rede local. Caso ele esteja exposto à internet, configure o firewall para permitir o acesso à sua porta 53 (tcp e udp) somente a partir da rede local.
Acesse o menu Firewall → Aliases
Clique em Adicionar
Preencha os dados
Nome = dns_liberado ou o nome que preferir
Tipo = Host(s)
IP = IP de um dispositivo que não terá tráfego DNS redirecionado
Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: dns_liberado
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: IP de um servidor DNS externo, por exemplo: 8.8.8.8
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Pronto! A configuração está pronta.
Antes de fazer essa configuração, certifique-se de que o serviço DNS do seu pfSense está funcionando. Para testar, use um comando como nslookup google.com 192.168.0.1 a partir de algum computador da sua rede, substituindo o 192.168.0.1 pelo IP do seu pfSense.
Essa configuração será eficaz para dispositivos que utilizam apenas o pfSense como servidor DNS.
Este artigo possui duas formas de configurar a lista de dispositivos isentos. A primeira é destinada para o caso de você possuir um servidor DNS interno que responda pelo domínio da rede local (Servidor AD). A segunda parte é para o caso de você não ter um servidor DNS interno.
Com servidor DNS interno
Sem servidor DNS interno
Com servidor DNS Interno
Habilitar NAT automático de reflexão
Acesse o menu Sistema → Avançado → Firewall & NAT
Habilite a opção Habilita a saída de NAT automatica para Reflexão
Salve a configuração clicando no botão Salvar.
Evitar a filtragem das consultas originadas pelo servidor DNS do seu domínio interno
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: ip do servidor DNS do domínio interno (AD)
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: 8.8.8.8
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Configurar no serviço DNS do pfSense o encaminhamento condicional de DNS com base no domínio interno
Acesse o menu Serviços → DNS Forwarder ou Serviços → DNS Forwarder, de acordo com qual serviço estiver em uso no seu pfSense
Mais abaixo na página, na seção Sobreescrever domínio, clique no botão Adicionar
Preencha os dados:
Dominio: o domínio da sua rede interna
Endereço IP: ip do servidor DNS do domínio interno (AD)
Salve a configuração clicando no botão Salvar.
Criar a lista de exceções (dispositivos isentos da filtragem)
Acesse o menu Firewall → Aliases
Clique em Adicionar
Preencha os dados
Nome = dns_liberado ou o nome que preferir
Tipo = Host(s)
IP = IP de um dispositivo que não terá tráfego DNS redirecionado
Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Criar a regra NAT para evitar a filtragem DNS dos dispositivos isentos
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: dns_liberado
Destino - Tipo: Este Firewall (o próprio)
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: endereço IP do servidor AD
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Pronto! A configuração está pronta.
Importante: certifique-se de que o seu pfSense receba consultas DNS somente da sua rede local. Caso ele esteja exposto à internet, configure o firewall para permitir o acesso à sua porta 53 (tcp e udp) somente a partir da rede local.
Sem servidor DNS interno
Criar a lista de exceções (dispositivos isentos da filtragem)
Acesse o menu Firewall → Aliases
Clique em Adicionar
Preencha os dados
Nome = dns_liberado ou o nome que preferir
Tipo = Host(s)
IP = IP de um dispositivo que não terá tráfego DNS redirecionado
Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Criar a regra NAT para evitar a filtragem DNS dos dispositivos isentos
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: dns_liberado
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: IP de um servidor DNS externo, por exemplo: 8.8.8.8
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Pronto! A configuração está pronta.
Atualizado em: 13/05/2024
Obrigado!