Configurando pfSense para interceptar o tráfego DNS da rede e redirecionar para o serviço DNS local
Este artigo explica como configurar um firewall pfSense para interceptar e redirecionar as consultas DNS originadas pelos dispositivos da rede interna, encaminhando-as para o seu próprio serviço DNS local. O serviço DNS local pode ser o dnsmasq (DNS Forwarder) ou o unbound (DNS Resolver).
As consultas DNS interceptadas serão aquelas originadas na rede interna, usando protocolo DNS tradicional porta 53, e destinadas a servidores externos. É possível criar uma lista de exceções, com endereços IP de dispositivos que não deverão ter seu tráfego DNS filtrado.
Para configurar o seu pfSense para realizar a filtragem do tráfego DNS com o Lumiun DNS, a fim de aumentar a segurança e controle do acesso à internet na rede da empresa, veja o artigo Configurando pfSense para usar Lumiun DNS com identificação dos dispositivos da rede interna.
Antes de fazer essa configuração, certifique-se de que o serviço DNS do seu pfSense está funcionando. Para testar, use um comando como nslookup google.com 192.168.0.1 a partir de algum computador da sua rede, substituindo o 192.168.0.1 pelo IP do seu pfSense.
Se não tiver um servidor DNS interno que responde pelo domínio da rede local, normalmente Active Directory (AD), pode pular essa etapa.
Se não tiver dispositivos que precisam ficar isentos da filtragem DNS, também pode pular essa etapa.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: ip do servidor DNS do domínio interno (AD)
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: 8.8.8.8
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Se não tiver um servidor DNS interno que responde pelo domínio da rede local, normalmente Active Directory (AD), pode pular essa etapa.
Acesse o menu Serviços → DNS Forwarder ou Serviços → DNS Forwarder, de acordo com qual serviço estiver em uso no seu pfSense
Mais abaixo na página, na seção Sobreescrever domínio, clique no botão Adicionar
Preencha os dados:
Dominio: o domínio da sua rede interna
Endereço IP: ip do servidor DNS do domínio interno (AD)
Salve a configuração clicando no botão Salvar.
Se não tiver dispositivos que precisam ficar isentos da filtragem DNS, não precisa criar a lista de exceções e pode pular essa etapa.
Acesse o menu Firewall → Aliases
Clique em Adicionar
Preencha os dados
Nome = dns_liberado ou o nome que preferir
Tipo = Host(s)
IP = IP de um dispositivo que não terá tráfego DNS redirecionado
Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Se não tiver dispositivos que precisam ficar isentos da filtragem DNS, pode pular essa etapa.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: dns_liberado
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: ip do servidor DNS do domínio interno (AD), (se não tiver um servidor DNS interno que responde pelo domínio da rede local utilize 8.8.8.8)
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Destino - Inverter correspondência: marcar
Destino - Tipo: LAN address
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: LAN address
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Altere os parâmetros do serviço DHCP da sua rede para que informe como Servidores DNS somente o endereço do seu pfSense.
Pronto!
Importante: certifique-se de que o seu pfSense receba consultas DNS somente da sua rede local. Caso ele esteja exposto à internet, configure o firewall para permitir o acesso à sua porta 53 (tcp e udp) somente a partir da rede local.
As consultas DNS interceptadas serão aquelas originadas na rede interna, usando protocolo DNS tradicional porta 53, e destinadas a servidores externos. É possível criar uma lista de exceções, com endereços IP de dispositivos que não deverão ter seu tráfego DNS filtrado.
Para configurar o seu pfSense para realizar a filtragem do tráfego DNS com o Lumiun DNS, a fim de aumentar a segurança e controle do acesso à internet na rede da empresa, veja o artigo Configurando pfSense para usar Lumiun DNS com identificação dos dispositivos da rede interna.
Antes de fazer essa configuração, certifique-se de que o serviço DNS do seu pfSense está funcionando. Para testar, use um comando como nslookup google.com 192.168.0.1 a partir de algum computador da sua rede, substituindo o 192.168.0.1 pelo IP do seu pfSense.
Evitar a filtragem das consultas originadas pelo servidor DNS do seu domínio interno
Se não tiver um servidor DNS interno que responde pelo domínio da rede local, normalmente Active Directory (AD), pode pular essa etapa.
Se não tiver dispositivos que precisam ficar isentos da filtragem DNS, também pode pular essa etapa.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: ip do servidor DNS do domínio interno (AD)
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: 8.8.8.8
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Configurar no serviço DNS do pfSense o encaminhamento condicional de DNS com base no domínio interno
Se não tiver um servidor DNS interno que responde pelo domínio da rede local, normalmente Active Directory (AD), pode pular essa etapa.
Acesse o menu Serviços → DNS Forwarder ou Serviços → DNS Forwarder, de acordo com qual serviço estiver em uso no seu pfSense
Mais abaixo na página, na seção Sobreescrever domínio, clique no botão Adicionar
Preencha os dados:
Dominio: o domínio da sua rede interna
Endereço IP: ip do servidor DNS do domínio interno (AD)
Salve a configuração clicando no botão Salvar.
Criar a lista de exceções (dispositivos isentos da filtragem)
Se não tiver dispositivos que precisam ficar isentos da filtragem DNS, não precisa criar a lista de exceções e pode pular essa etapa.
Acesse o menu Firewall → Aliases
Clique em Adicionar
Preencha os dados
Nome = dns_liberado ou o nome que preferir
Tipo = Host(s)
IP = IP de um dispositivo que não terá tráfego DNS redirecionado
Para incluir mais endereços IP, clique no botão Adicionar Hosts logo abaixo.
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Criar a regra NAT para evitar a filtragem DNS dos dispositivos isentos
Se não tiver dispositivos que precisam ficar isentos da filtragem DNS, pode pular essa etapa.
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Origem - Tipo: Host único ou alias
Origem - Endereço: dns_liberado
Destino - Tipo: Qualquer
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: Host único
Redirecionar IP de destino - Endereço: ip do servidor DNS do domínio interno (AD), (se não tiver um servidor DNS interno que responde pelo domínio da rede local utilize 8.8.8.8)
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Criar a regra NAT para fazer o encaminhamento das requisições DNS do restante da rede
Acesse o menu Firewall → NAT e fique na guia Encaminhamento de Portas
Clique no botão Adicionar
Preencha os dados:
Dispositivo: LAN
Protocolo: TCP/UDP
Clique no botão Exibir Avançado, na seção Origem.
Destino - Inverter correspondência: marcar
Destino - Tipo: LAN address
Intervalo de portas de destino - Da porta: DNS
Intervalo de portas de destino - Para porta: DNS
Redirecionar IP de destino - Tipo: LAN address
Redirecionar porta de destino - Porta: DNS
Salve a configuração clicando no botão Salvar e confirme clicando em Aplicar Mudanças.
Ajuste o endereço do servidor DNS que os dispositivos utilizam
Altere os parâmetros do serviço DHCP da sua rede para que informe como Servidores DNS somente o endereço do seu pfSense.
Pronto!
Importante: certifique-se de que o seu pfSense receba consultas DNS somente da sua rede local. Caso ele esteja exposto à internet, configure o firewall para permitir o acesso à sua porta 53 (tcp e udp) somente a partir da rede local.
Atualizado em: 28/11/2023
Obrigado!