Acerca de DNS en el Firebox

Puede configurar diferentes tipos de servidores y servicios DNS en su Firebox. Cada servidor DNS y servicio tienen un propósito diferente, y se configuran en una ubicación diferente en los ajustes del Firebox. Algunos servidores DNS tienen precedencia sobre otros.

Con los servidores DNS y servicios disponibles, se puede hacer lo siguiente:

• Configurar servidores DNS que se apliquen a todas las interfaces y procesos locales de Firebox, o solo a interfaces específicas.
• Configurar las reglas de Reenvío de DNS para enviar consultas de DNS para dominios específicos a diferentes servidores DNS.
• Habilitar DNSWatch si tiene una clave de suscripción de Total Security Suite. ¡Consejo! DNSWatch es un servicio basado en la nube que supervisa las solicitudes de DNS para evitar conexiones a dominios maliciosos conocidos.
• Configurar el DNS dinámico (DDNS) para mantener la asociación entre su nombre de dominio y una dirección IP dinámica de Firebox.
  Para obtener más información sobre el DNS dinámico, consulte Acerca del Servicio de DNS Dinámico.

Para obtener información sobre las mejores prácticas de DNS, consulte Prácticas Recomendadas de Configuración del Firebox.

Para obtener información sobre cómo resolver problemas de DNS, consulte Resolver Problemas de Conectividad de Red.

Servidores DNS en su Firebox

Su Firebox incluye servidores DNS para el reenvío de DNS. No puede configurar el Firebox en sí para que funcione como un servidor DNS. En su lugar, configura el Firebox para reenviar solicitudes a los servidores DNS que especifique.

Entre los servidores DNS disponibles de su Firebox se incluye lo siguiente:

• Servidor DNS de Red (Global)

  Este es el servidor DNS predeterminado para todas las interfaces y procesos locales en el Firebox.

  En Fireware v12.2.1 o superior, puede seleccionar asignar el servidor DNS de Red a clientes de Mobile VPN with IPSec, Mobile VPN with L2TP, Mobile VPN with IKEv2 y Mobile VPN with SSL. O bien puede seleccionar utilizar los servidores DNS especificados en la configuración de VPN móvil.

  En Fireware v12.2 o inferior, el servidor DNS de Red se utiliza automáticamente para Mobile VPN with IPSec, Mobile VPN with L2TP y Mobile VPN with IKEv2. Mobile VPN with SSL no utiliza el servidor DNS de Red; utiliza los servidores DNS configurados en los ajustes de Mobile VPN with SSL.

  Configuración del Servidor DNS de Red

  Puede especificar hasta tres servidores DNS de Red.

  El primer servidor en la lista de DNS de Red es contactado antes que otros en la lista. Si tiene un servidor DNS local, asegúrese de que aparezca primero en la lista de servidores DNS de Red.

  Configure el servidor DNS de Red en los ajustes de DNS/WINS de red:

  • Fireware Web UI — Seleccione Red > Interfaces > DNS/WINS
  • Policy Manager — Seleccione Red > Configuración > WINS/DNS

  Precedencia del Servidor DNS de Red

  Los ajustes del servidor DNS especificados en las configuraciones de VPN móvil tienen prioridad sobre los ajustes del servidor DNS/WINS de Red.

  Si la función de reenvío de DNS está habilitada, los servidores DNS condicionales especificados en las reglas de reenvío tienen prioridad sobre el servidor de DNS de Red. Esto también es cierto para el tráfico generado por el propio Firebox (conocido como tráfico generado por Firebox o autogenerado).

  Si DNSWatch está habilitado:

  • Si tiene un servidor DNS local que aparece primero en la lista de servidores DNS de Red, DNSWatch no tiene prioridad sobre ese servidor.
  • Si la imposición de DNSWatch está deshabilitada, los servidores DNS de DNSWatch tienen prioridad sobre los servidores DNS de Red configurados en su Firebox, a excepción de un servidor DNS local que aparece primero en la lista, solo para solicitudes generadas por o dirigidas a la dirección IP del Firebox.
  • Si la imposición de DNSWatch está habilitada, los servidores DNS de DNSWatch tienen prioridad sobre los servidores DNS de Red configurados en su Firebox, a excepción de un servidor DNS local que aparece primero en la lista, para todas las solicitudes salientes en esa interfaz.

  Para ver qué servidores DNS están en uso en su Firebox, seleccione Panel Delantero > Interfaces > Servidores DNS en el Firebox System Manager, o bien seleccione Interfaces > Detalles en Fireware Web UI. Para obtener más información, consulte la sección de Información del Servidor DNS en este tema.

  Para obtener más información sobre el servidor DNS de Red, consulte Configurar los Servidores DNS y WINS de Red.

• Servidor DNS de interfaz

  Este es un servidor DNS opcional que puede configurar para una interfaz.

  Configuración del Servidor DNS de Interfaz

  Puede especificar hasta tres servidores DNS. Configure el servidor DNS de Interfaz en los ajustes del servidor DHCP para una interfaz:

  • Fireware Web UI — Seleccione Red > Interfaces > [Nombre de Interfaz] > Editar > DNS/WINS
  • Policy Manager — Seleccione Red > Configuración > [Nombre de Interfaz] > Configurar > Usar Servidor DHCP > Configurar Servidores DNS/WINS

  Precedencia del Servidor DNS de Interfaz

  El servidor DNS de Interfaz tiene prioridad sobre el servidor DNS de Red y el servidor DNS Condicional.

  Si DNSWatch está habilitado con la imposición activada, el servidor DNSWatch tiene prioridad sobre el servidor DNS de Interfaz IPv4.

  Para obtener más información sobre el servidor DNS de Interfaz, consulte Configurar un Servidor DHCP IPv4.

• Servidor DNS Condicional

  Este es el servidor DNS para los nombres de dominio y las interfaces que especifica en una regla de Reenvío de DNS condicional.

  Configuración de Servidor DNS Condicional

  Configure este servidor en la configuración de redes DNS/WINS:

  • Fireware Web UI — Seleccione Red > Interfaces > DNS/WINS > Reenvío de DNS
  • Policy Manager — Seleccione Red > Configuración > WINS/DNS > Habilitar Reenvío de DNS

  Precedencia del Servidor DNS Condicional

  El servidor DNS Condicional tiene prioridad sobre el servidor DNS de Red y el servidor DNSWatch. Esto también es cierto para el tráfico generado por el propio Firebox (conocido como tráfico generado por Firebox o autogenerado).

  Para obtener información sobre el Reenvío de DNS, consulte Acerca del Reenvío de DNS.

• Servidor DNS desde su ISP

  Este es el servidor DNS proporcionado por su ISP.

  Si su Firebox está configurado como un cliente DHCP, recibe servidores DNS desde su ISP.

  Si su Firebox está configurado como un cliente PPPoE, puede seleccionar si desea recibir servidores DNS desde su ISP. Si no selecciona esta opción, se utiliza el servidor DNS de Red configurado en el Firebox. No puede configurar manualmente los servidores DNS en los ajustes de PPPoE.

  Para interfaces de módem externas, puede configurar manualmente hasta dos servidores DNS. Si no configura los servidores DNS en los ajustes del módem, el Firebox recibe los servidores DNS desde su ISP.

  Para obtener información sobre los servidores DNS para interfaces externas configuradas para DHCP o PPPoE, consulte Configurar una interfaz externa.

  Para obtener información sobre las interfaces de módem, consulte Acerca de las Interfaces del Módem..

  Configuración del Servidor DNS ISP

  Para una interfaz de módem, puede configurar manualmente los servidores DNS:

  • Fireware Web UI — Seleccione Red > Interfaces > [interfaz de módem] > Editar
  • Policy Manager — Seleccione Red > Configuración > Interfaces > [interfaz de módem] > Configurar

  Precedencia del Servidor DNS ISP

  Los servidores DNS de red tienen prioridad sobre los servidores DNS de su ISP y los servidores DNS configurados manualmente en los ajustes del módem.

  Si DNSWatch está habilitado, los servidores DNSWatch tienen prioridad sobre los servidores DNS de su ISP y los servidores DNS configurados manualmente en los ajustes del módem.

• Servidor DNS de DNSWatch

  DNSWatch es una función que supervisa las solicitudes de DNS a través del Firebox para evitar conexiones a dominios maliciosos conocidos. Cuando habilita DNSWatch, se agregan dos servidores DNS de DNSWatch a la lista de servidores DNS de red, disponibles en su Firebox.

  Cuando habilita DNSWatch en su Firebox, debe decidir si habilitar la imposición de DNSWatch. Cuando la imposición está habilitada, Firebox redirige todas las solicitudes de DNS salientes de esa interfaz a los servidores DNS de DNSWatch. Cuando la aplicación está deshabilitada, Firebox redirige las solicitudes de DNS salientes de esa interfaz a los servidores DNSWatch solo cuando la solicitud de DNS se dirige al Firebox.

  Configuración de DNSWatch

  Para configurar los ajustes de DNSWatch, en Fireware Web UI o Policy Manager, seleccione Servicios de Suscripción > DNSWatch.

  Para obtener más información sobre DNSWatch, consulte Acerca de DNSWatch de WatchGuard.

  Precedencia de DNSWatch

  Si DNSWatch está habilitado con la imposición desactivada, los servidores DNS de DNSWatch tienen prioridad sobre estos servidores solo para las solicitudes de DNS dirigidas directamente al Firebox, o generadas por el Firebox:

  • Servidores DNS de Red Pública configurados en su Firebox
  • Servidores DNS de su ISP

  Si DNSWatch está habilitado con la imposición activada, los servidores DNS de DNSWatch tienen prioridad sobre estos servidores:

  • Servidores DNS de Red Pública configurados en su Firebox
  • Servidores DNS de su ISP
  • Servidores DNS de interfaz
  • Servidores DNS configurados manualmente en un host de red

  DNSWatch no tiene prioridad sobre los servidores DNS Condicionales especificados en las reglas de Reenvío de DNS.

  Para obtener más información sobre la prioridad del servidor DNSWatch, consulte Prioridad de los Ajustes DNS de DNSWatch en un Firebox.

• Servidor DNS de Mobile VPN

  En Fireware v12.2.1 o superior, en todas las configuraciones de VPN móvil, puede seleccionar lo siguiente:

  • Asignar o no asignar los ajustes de DNS/WINS de Red a clientes móviles
  • Asignar a clientes móviles los ajustes especificados en la configuración de VPN móvil

  En Fireware v12.2 o inferior:

  • Los servidores DNS/WINS de Red se asignan automáticamente a clientes de Mobile VPN with IPSec, Mobile VPN with L2TP y Mobile VPN with IKEv2.
  • Puede especificar los ajustes del servidor DNS y WINS en la configuración de Mobile VPN with SSL. Sin embargo, no puede seleccionar asignar los ajustes de DNS/WINS de Red para los clientes de Mobile VPN with SSL.

  Precedencia del Servidor DNS de Mobile VPN

  Los ajustes del servidor DNS especificados en las configuraciones de VPN móvil tienen prioridad sobre los ajustes del servidor DNS/WINS de Red.

Resolvedor y Caché de DNS

Si habilita las funciones de Reenvío de DNS o DNSWatch, se activa automáticamente un resolvedor de DNS (127.0.0.1) en el Firebox. El resolvedor almacena en caché los resultados de las consultas de DNS, hasta 10,000 entradas.

Para resolver una solicitud de DNS, el resolvedor del Firebox primero busca su propio caché. Si no existe información almacenada en la memoria caché para la solicitud, Firebox reenvía la solicitud a otro servidor DNS según los ajustes de DNS que haya especificado en el Firebox.

Para deshabilitar la caché de DNS, en Policy Manager (Fireware v12.7 o superior):

1. Seleccione Red > Configuración > WINS/DNS
2. Desmarque la casilla de selección Habilitar la Caché DNS.

Para deshabilitar la caché de DNS, en Fireware Web UI (Fireware v12.7 o superior):

1. Seleccione Red > Interfaces > DNS/WINS.
2. Desmarque la casilla de selección Habilitar la Caché DNS.

En Fireware v12.6.4, debe usar la CLI para deshabilitar la caché. Especifique el comando no ip dns cache enable. Para obtener más información sobre este comando, consulte la Referencia de Fireware CLI.

Después de deshabilitar la caché de DNS, el Firebox no almacena en caché las consultas de DNS ni resuelve las consultas de DNS a partir de la información en la caché. Por ejemplo, si tiene una regla de reenvío de DNS para el dominio ejemplo.com, el Firebox reenvía esa solicitud a otro servidor DNS según los ajustes de DNS que usted especificó en el Firebox.

Los servidores DNS de DNSWatch también tienen un caché que almacena una semana de datos.

Información del Servidor DNS

En Firebox System Manager, puede ver los servidores DNS que su dispositivo utiliza en la pestaña Panel Delantero > Interfaces > Servidores DNS. Para más información, consulte Estado del Dispositivo.

En Fireware Web UI, puede ver los servidores DNS que su dispositivo utiliza en la página Panel de Control > Interfaces > Detalles. Para más información, consulte Información de Interfaz y Monitoreo SD-WAN.

El resolvedor DNS del Firebox aparece como 127.0.0.1 en la lista de servidores DNS en estas páginas de estado. Solo el resolvedor DNS de Firebox y hasta tres servidores DNS aparecen aquí y están disponibles para resolver solicitudes de DNS.

Si DNSWatch está habilitado y un servidor DNS local aparece primero en la lista de Servidores DNS de Red, los servidores DNS de DNSWatch aparecen después del servidor DNS local en estas páginas de estado. En este caso, otros servidores DNS que aparecen en la lista de servidores DNS de Red no aparecen aquí y no se utilizan para la resolución de DNS.

Por ejemplo, si tiene habilitado DNSWatch y un servidor DNS local aparece primero en la lista de servidores DNS de Red, los servidores DNS aparecen en estas páginas de estado en este orden:

• 127.0.0.1 (resolvedor de Firebox)
• Servidor DNS local
• Servidor DNS de DNSWatch 1
• Servidor DNS de DNSWatch 2

En este caso, los servidores DNS públicos configurados en la lista de servidores DNS de Red no aparecen en la página de estado y no se utilizan para la resolución de DNS.

Ver También

Acerca de DNS (Sistema de nombre de dominio)

Acerca del Reenvío de DNS

Acerca del Servicio de DNS Dinámico

Acerca de DNSWatch de WatchGuard