Acerca del Reenvío de DNS

Puede configurar su Firebox para reenviar consultas de DNS desde las computadoras de su red a un servidor DNS. Por ejemplo, puede usar el reenvío de DNS para enviar las consultas de DNS desde la sucursal a un servidor DNS remoto de la sede.

Puede habilitar el reenvío de DNS desde Fireware Web UI, Policy Manager y la CLI. También puede agregar normas de reenvío condicional de DNS. Estas le permiten enviar consultas de DNS a distintos servidores de DNS en base al nombre de dominio de la consulta.

El reenvío condicional de DNS puede originar tiempos de respuesta más rápidos a las consultas de DNS. Si tiene recursos en la nube, sus usuarios se pueden conectar a ellos más rápido, debido a lo siguiente:

  • Algunos proveedores de servicios en nube usan la geolocalización para seleccionar a qué centro de datos se va a conectar. Cuando se conecta a un servidor DNS cercano a su ubicación, su proveedor de nube puede conectarlo al centro de datos más cercano.
  • El Firebox obtiene los resultados de las consultas de DNS.

Este tema explica:

En Fireware v11.12.1 o las versiones inferiores, solamente puede habilitar el reenvío de DNS desde la línea de comando y no se admite el reenvío de DNS condicional. Si habilita el reenvío de DNS antes de actualizar a Fireware v11.12.2, dicho reenvío permanece habilitado, pero la funcionalidad cambia, según se describe en este segmento. Para obtener instrucciones sobre cómo habilitar el reenvío de DNS en Fireware v11.12.1 o versiones inferiores, consulte Cómo habilitar el reenvío de DNS en la Base de Consulta de WatchGuard.

Servidores DNS en su Firebox

Estos servidores DNS pueden configurarse en su Firebox:

  • Servidor DNS de Red — El servidor DNS predeterminado para todas las interfaces y los procesos locales del Firebox
  • Servidor DNS de interfaz — El servidor DNS para las interfaces que usted especifique
  • Servidor DNS condicional — El servidor DNS para los nombres de dominio y las interfaces que usted especifica en una norma de reenvío de DNS
  • Servidor DNS obtenido de su ISP — Cuando su Firebox se configura como un cliente DHCP o un cliente PPPoE
  • Servidor DNSWatch — Servidor DNS cuando DNSWatch está habilitado, en algunos casos

Cada servidor DNS tiene un propósito distinto y se configura en una ubicación diferente en la configuración de Firebox.

Algunos servidores DNS tienen precedencia sobre otros. Cuando habilite una regla de Reenvío de DNS, tenga en cuenta que:

  • Los servidores DNS condicionales tienen prioridad sobre el servidor DNS de Red y los servidores DNSWatch.
  • El servidor DNS de Interfaz tiene prioridad sobre el servidor DNS Condicional.

Para obtener más información sobre la precedencia de servidores DNS, consulte Acerca de DNS en el Firebox.

Reenvío de DNS

Puede habilitar el reenvío de DNS y el reenvío de DNS condicional, en estos modos de red:

  • Modo de enrutamiento combinado
  • Modo directo
  • Modo puente

Cuando habilita el reenvío de DNS:

  • Debe seleccionar una o más interfaces de Confianza, Opcional o Personalizada para participar en el reenvío de DNS.
  • Los procesos locales del Firebox lo usan como servidor DNS.
  • El Firebox obtiene los resultados de las consultas de DNS (hasta 10.000 entradas).
  • Si no agrega normas de reenvío de DNS condicional, se reenviarán las consultas de DNS enviadas a la dirección IP local de Firebox al servidor DNS de red que usted especificó. El Firebox obtiene los resultados de estas consultas.
  • Si configura el Firebox para que sea un servidor DHCP, los clientes de DHCP de su red usarán automáticamente la dirección IP de la interfaz como el servidor DNS, a menos que especifique un servidor DNS en la configuración de servidor DHCP.
  • Está permitido el tráfico DNS que se envía desde las interfaces configuradas para el reenvío de DNS al Firebox. La política de DNS y la política de proxy de DNS solamente corresponden al tráfico de paso de DNS.
  • Si configura una interfaz de Firebox para que sea un servidor DHCP y la interfaz está configurada para el reenvío de DNS:
    • Si no especificó un servidor DNS en la configuración de DHCP, el servidor DHCP otorga automáticamente la dirección IP de la interfaz de Firebox como el servidor DNS. Se produce el reenvío de DNS.
    • Si especifica un servidor DNS que no sea la dirección IP de la interfaz de Firebox en la configuración de DHCP, el servidor DHCP otorga automáticamente la dirección IP del servidor DNS que usted especificó. No se produce el reenvío de DNS.

El Firebox puede procesar hasta 10.000 solicitudes de DNS al mismo tiempo.

Si habilita la generación de registros para el reenvío de DNS, el Firebox genera un mensaje de registro cuando se produce dicho reenvío.

Si tiene una conexión de interfaz virtual BOVPN entre sitios y configura el reenvío de DNS, debe agregar una dirección IP de interfaz virtual en la configuración de la interfaz virtual BOVPN para que el reenvío de DNS funcione a través de la VPN. La dirección IP de la interfaz virtual es necesaria porque el servidor DNS debe enrutar el tráfico de regreso a esa dirección IP. Para obtener más información acerca de las direcciones IP de interfaz virtual, consulte Configurar Direcciones IP de Interfaz Virtual BOVPN.

En Fireware v12.4 o superior, puede habilitar DNSWatch en Modo Puente. Para que Firebox resuelva nombres de host en dominios locales, debe crear reglas de reenvío de DNS para dominios locales que especifiquen los servidores DNS locales.

Reenvío de DNS Condicional

Puede agregar reglas de reenvío de DNS condicionales. Cuando agrega una norma de reenvío, el Firebox usa la información en caché para responder a una consulta de DNS o reenvía la consulta a un servidor DNS especificado en la norma.

Por ejemplo, en un Firebox de la sucursal que tenga una conexión VPN a la sede, puede ajustar la configuración de DNS para lo siguiente:

  • Reenviar las consultas de DNS para el dominio interno example.com a través de la VPN al servidor DNS de la sede.
  • Reenviar el resto de las consultas de DNS a un servidor DNS público físicamente más cercano a la sucursal.

Configuración

Cuando habilita el reenvío DNS condicional en su Firebox, puede agregar normas de reenvío de DNS. Para cada una de estas normas, usted especifica estos ajustes:

Nombre de Dominio

Agregue uno o más nombres de dominio. No existe límite para la cantidad de nombres de dominio que puede especificar. Tienen prioridad los nombres de dominio más específicos. No importa el orden de los nombres de dominio.

Servidor DNS

Especifique un servidor DNS. Las consultas del nombre de dominio que usted agregó se envían al servidor DNS que especificó. Puede agregar hasta cuatro servidores DNS para cada nombre de dominio. El Firebox se contacta con el primer servidor DNS de la lista y se contacta con otros servidores DNS, según sea necesario.

Deshabilitar la Caché de DNS

Si habilita las funciones de Reenvío de DNS o DNSWatch, se activa automáticamente un resolvedor de DNS (127.0.0.1) en el Firebox. En Fireware v12.6.4 o superior, puede deshabilitar la caché de DNS. Para obtener información sobre cómo deshabilitar la caché, consulte Acerca de DNS en el Firebox.

Ejemplo

En este ejemplo, una sucursal tiene un Firebox configurado como servidor DHCP. No se especifica un servidor DNS de interfaz en la configuración del servidor DHCP. El servidor DNS interno se encuentra en la red de la sede. En el Firebox de la sucursal, una norma de reenvío de DNS condicional envía consultas para example.com al servidor DNS de la sede. El resto de las consultas de DNS se envían al servidor DNS de red especificado en el Firebox.

Diagrama topológico para una red de ejemplo con el reenvío de DNS condicional

Cómo funciona:

  1. En la sucursal, un cliente DHCP de la red envía una consulta de DNS para el nombre de dominio example.com.
  2. El Firebox recibe la consulta y examina el caché de DNS.
  3. Si el caché no incluye una entrada para example.com, el Firebox examina su lista de Reenvío de DNS.
  4. Si example.com se incluye en la lista de Reenvío de DNS, el Firebox reenvía la consulta al servidor DNS especificado para el nombre de dominio.
    En nuestro ejemplo, la consulta se reenvía al servidor DNS remoto de la sede, 10.50.1.253.
  5. Si example.com no se incluye en la lista de Reenvío de DNS, el Firebox reenvía la consulta de DNS al servidor DNS de red, es decir, 4.2.2.1 en nuestro ejemplo.

Estas imágenes muestran las configuraciones de reenvío de DNS y DNS de red para nuestro ejemplo:

Screen shot of DNS forwarding configuration

Ajustes del reenvío de DNS en Fireware Web UI

Screen shot of DNS forwarding settings in WSM

Ajustes del reenvío de DNS en Policy Manager

Ver También

Configurar los Servidores DNS y WINS de Red

Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec

Acerca de DNS en el Firebox

Acerca de DNSWatch de WatchGuard