Configurar Rotas de Pedido DNS no Sophos Firewall
Com as Rotas de Pedido DNS, pode-se definir no Sophos Firewall qual servidor DNS deve ser usado para determinados domínios ou redes. Isso é especialmente útil quando o firewall utiliza servidores DNS públicos, mas os nomes internos precisam ser resolvidos por um servidor DNS interno.
Exemplos típicos incluem domínios do Active Directory, aplicações internas, pesquisas reversas ou ambientes VPN.
Quando Sophos DNS Protection com Sophos Firewall é utilizado, as Rotas de Pedido DNS tornam-se ainda mais importantes. Domínios públicos são então direcionados para o serviço de DNS Protection, enquanto domínios internos continuam a ser resolvidos pelo servidor DNS local ou controlador de domínio. Sem essa separação, aplicações internas, logins AD ou pesquisas reversas podem parecer problemas de rede.
Orientação e desenho
As DNS Request Routes só fazem sentido quando o comportamento DNS pretendido e os servidores DNS responsáveis estão claramente definidos.
Rota de Pedido DNS, Servidor DNS ou Opção DHCP?
As Rotas de Pedido DNS são frequentemente confundidas com servidores DNS globais ou opções DHCP. As funções resolvem problemas diferentes.
- Servidores DNS Globais: Resolução padrão do firewall DNS da Internet, resolução geral de FQDN, atualizações e serviços em nuvem.
- Rota de Pedido DNS: enviar domínio específico ou zona reversa para servidor DNS definido Active Directory, domínios internos, DNS de local, DNS dividido.
- Opção DHCP: distribuir servidor DNS ou domínio de pesquisa para clientes Clientes devem usar diretamente um servidor DNS específico.
Uma Rota de Pedido DNS não altera automaticamente a configuração DNS de todos os clientes. A rota controla para onde o próprio Sophos Firewall ou clientes que usam o firewall como encaminhador DNS direcionam pedidos DNS específicos. Se os clientes devem usar diretamente um servidor DNS interno, uma Opção DHCP no Sophos Firewall é mais adequada.
Qual Design DNS é Adequado?
Antes de criar uma Rota de Pedido DNS, deve-se esclarecer qual resolvedor é usado na rede respectiva. A rota só ajuda se o Sophos Firewall também vir o pedido.
- Clientes perguntam ao Sophos Firewall: Firewall encaminha domínios públicos globalmente e domínios internos por Rota de Pedido DNS locais pequenos e médios, DNS Protection, redes de convidados/clientes.
- Clientes perguntam diretamente a servidores DNS internos: Controlador de domínio ou servidor DNS resolvem internamente e encaminham externamente redes clássicas de Active Directory com Windows DNS como resolvedor central.
- Clientes VPN perguntam ao firewall: Firewall usa Rotas de Pedido para domínios internos Acesso remoto com caminho DNS simples através do firewall.
- Clientes VPN perguntam diretamente a servidores DNS internos: DNS passa por VPN para o controlador de domínio ou servidor DNS ambientes AD maiores, quando clientes devem usar a mesma lógica DNS que na LAN.
Em ambientes mistos, um esboço DNS curto é muito útil: rede do cliente, servidor DNS atribuído, domínio de pesquisa, zonas DNS internas, Rotas de Pedido DNS e caminho de roteamento para o servidor de destino. Sem essa visão geral, muitas vezes trabalha-se na Rota de Pedido, embora o cliente não use o firewall como resolvedor DNS.
Quando Precisamos de Rotas de Pedido DNS?
As Rotas de Pedido DNS são úteis quando:
- nomes de host internos como
server01.firma.localprecisam ser resolvidos - pesquisas reversas para redes IP internas devem funcionar
- usuários VPN devem usar nomes internos
- vários locais têm suas próprias zonas DNS
- o próprio firewall precisa acessar sistemas internos por FQDN
- servidores DNS públicos não conhecem nomes internos
Sem uma Rota de Pedido DNS, o firewall pergunta ao servidor DNS configurado globalmente. Se o domínio interno não for conhecido lá, a resolução falha.
Essa diferença é especialmente importante no acesso remoto. Se os clientes VPN usam o firewall como servidor DNS, uma Rota de Pedido DNS pode garantir que domínios internos ainda cheguem ao controlador de domínio ou servidor DNS correto. Se os clientes VPN recebem diretamente servidores DNS internos, deve-se verificar adicionalmente se o roteamento, regras de firewall e sufixos DNS no cliente estão corretos.
Pré-requisitos
- Acesso ao WebAdmin do Sophos Firewall
- Servidor DNS interno está acessível
- Domínio ou rede é conhecido
- Regras de firewall permitem tráfego DNS para o servidor de destino
- Em interconexão de locais: roteamento para o servidor DNS funciona
- O cliente afetado usa o firewall como servidor DNS ou recebe conscientemente outro servidor DNS
⚠️ Problemas de DNS muitas vezes parecem problemas de roteamento, VPN ou aplicações. Antes de grandes mudanças, deve-se verificar se o servidor de destino é acessível por IP e se apenas a resolução de nomes falha.
Configurar uma DNS Request Route
A route define que servidores DNS são consultados para um domínio ou zona reverse específica.
Criar Rota de Pedido DNS para um Domínio
Uma rota de domínio garante que pedidos para um domínio específico sejam enviados para um servidor DNS definido.
Exemplo:
- Nome do host/domínio:
firma.local - Servidor DNS:
10.10.10.10
Procedimento:
- Faça login no Sophos Firewall.
- Abra Network.
- Selecione DNS.
- Vá para a seção DNS request route.
- Adicione uma nova Rota de Pedido DNS.
- Em Host/domain name, insira o domínio interno, por exemplo,
firma.local. - Em Target servers, selecione o servidor DNS interno ou crie-o como host através de Create.
- Salve.
Depois disso, o firewall pergunta ao servidor DNS especificado para este domínio.

Usar Vários Servidores de Destino
Em Target servers, pode-se adicionar mais de um servidor DNS. Isso é útil quando há vários servidores DNS internos ou quando o DNS deve ser acessível de forma redundante através de uma conexão de local.
Possíveis servidores de destino:
- servidores DNS internos na rede local
- servidores DNS do outro lado de uma conexão VPN
- servidores DNS em outro local
- servidores DNS públicos, se um domínio específico deve ser resolvido externamente de forma consciente
A ordem é relevante. O firewall consulta os hosts selecionados na ordem em que aparecem na lista. Por Rota de Pedido DNS, podem ser registradas até oito endereços IP. Mais servidores de destino não significam automaticamente melhor redundância, se os servidores tiverem diferentes estados de zona, diferentes encaminhamentos ou diferentes acessibilidades através de VPN.

Com vários Servidores de Destino, não se deve apenas registrar redundância, mas também verificar a responsabilidade. Se o primeiro servidor DNS conhece a zona, mas fornece entradas desatualizadas, a Rota de Pedido funcionará tecnicamente, mas ainda assim dará respostas incorretas.
DNS Dividido para VPN e Locais
DNS Dividido significa que o mesmo nome é resolvido de forma diferente dependendo do local ou rede. Um portal interno pode, por exemplo, apontar para um IP privado internamente, enquanto o mesmo nome externamente aponta para um endereço público ou não é resolvido.
No Sophos Firewall, três pontos são decisivos para isso:
- A Rota de Pedido DNS adequada para o domínio interno.
- Uma regra de firewall que permite DNS do firewall ou do cliente para o servidor DNS interno.
- Um caminho de roteamento para o servidor DNS, especialmente em VPN site-to-site, SSL VPN ou Sophos Connect.
Para ambientes de acesso remoto, deve-se verificar adicionalmente quais servidores DNS e domínios de pesquisa o cliente recebe. Com o Sophos Connect, isso se ajusta a Configurar Sophos Connect no Sophos Firewall. Em configurações clássicas de SSL-VPN, isso se ajusta a Configurar Acesso Remoto SSL VPN no Sophos Firewall.
DNS Reverso para Redes Internas
Uma Rota de Pedido DNS Reverso encaminha consultas PTR para uma rede IP interna ao servidor DNS que conhece a zona de pesquisa reversa apropriada. Isso ajuda quando logs, relatórios ou serviços precisam converter um endereço IP de volta para um nome de host.
Exemplo:
- Rede:
172.16.16.0/24 - Servidor DNS:
172.16.16.10 - Zona Reversa:
16.16.172.in-addr.arpa
Para pesquisas reversas, também se cria uma Rota de Pedido DNS em Network > DNS > DNS request route. Em Host/domain name, não se insere o domínio normal, mas sim a zona reversa.
Exemplo para 172.16.16.0/24:
16.16.172.in-addr.arpa
A ordem dos octetos é invertida. Da rede 172.16.16.0/24, torna-se 16.16.172.in-addr.arpa.
Para redes maiores, a zona reversa pode ser mais ampla. Exemplo: Para 172.16.0.0/16, seria 16.172.in-addr.arpa. O importante é como a zona de pesquisa reversa foi configurada no servidor DNS interno.
Se no servidor DNS interno não existir uma zona PTR ou registros PTR, a Rota de Pedido não ajudará. O firewall pode apenas enviar o pedido ao servidor DNS correto, mas não cria entradas DNS reversas no servidor DNS.
Em ambientes IPv6 com prefixo de provedor, deve-se também considerar o DNS desde o início. Como os clientes recebem seu endereço IPv6 e qual o papel do Anúncio de Roteador e DHCPv6, está em Configurar Delegação de Prefixo IPv6 no Sophos Firewall.
Testes e operação
As alterações DNS devem ser sempre verificadas a partir da firewall e de clientes reais.
Testes e Validação
Após a configuração, deve-se testar a resolução de nomes:
- O firewall consegue resolver o nome interno?
- A resolução funciona a partir de zonas VPN ou de usuário?
- O servidor DNS é acessível por Ping ou TCP/UDP 53?
- Existem entradas no log de DNS ou firewall?
Se a resolução não funcionar, deve-se primeiro verificar:
- O domínio está escrito corretamente?
- O cliente realmente usa o Sophos Firewall ou o servidor DNS correto?
- Uma regra de firewall bloqueia o DNS?
- Falta uma rota para o servidor DNS?
- O servidor DNS responde a pedidos do firewall?
Um teste sensato separa a acessibilidade IP e a resolução DNS:
- Teste o sistema de destino por IP, por exemplo, Ping, porta TCP ou aplicação.
- Alcance o próprio servidor DNS por IP.
- Resolva o nome através da fonte DNS esperada.
- Só então teste a aplicação pelo nome.
Se o acesso por IP funcionar, mas por nome não, o foco está na Rota de Pedido DNS, sufixo DNS, DNS do cliente ou pesquisa reversa. Se o acesso por IP já falhar, deve-se primeiro verificar roteamento, regra de firewall, NAT ou VPN. Para essa delimitação, ajudam Testar regra de firewall com Log Viewer, Policy Test e Packet Capture e Regra do Sophos Firewall não está correspondendo: verificar causas.
Comandos de Teste para Firewall e Clientes
No Sophos Firewall, a Device Console pode ajudar a testar o DNS do ponto de vista do firewall:
dnslookup server01.firma.local
dnslookup example.com
Nos clientes, deve-se verificar adicionalmente qual resolvedor é realmente usado.
Windows:
ipconfig /all
nslookup server01.firma.local
nslookup server01.firma.local <firewall-ip>
Resolve-DnsName server01.firma.local
macOS:
scutil --dns
dig server01.firma.local
dig @<firewall-ip> server01.firma.local
Linux:
resolvectl status
dig server01.firma.local
dig @<firewall-ip> server01.firma.local
<firewall-ip> representa o endereço da interface interna do Sophos Firewall na rede respectiva. Se a consulta contra o firewall funcionar, mas a consulta normal do cliente não, o problema geralmente está no DHCP, perfil VPN, sufixo DNS, resolvedor local ou comportamento DNS do navegador/sistema. Se a consulta contra o firewall também falhar, os próximos pontos de verificação são Rota de Pedido, Servidor de Destino, Roteamento ou Regra de Firewall.
Verificação Operacional
As Rotas de Pedido DNS devem ser o mais específicas possível. Uma rota para o domínio interno exato é melhor do que uma configuração muito ampla. Para ambientes maiores, vale a pena uma pequena tabela com domínio, servidor DNS, local e propósito, para que alterações futuras sejam rastreáveis.
Documentação prática:
- Domínio ou Zona Reversa:
ad.firma.local - Servidores de Destino:
10.10.10.10,10.10.10.11 - Propósito: DNS do Active Directory para local principal.
- Redes Afetadas: LAN, VPN de Admin, Local de Zurique.
- Dependências: VPN site-to-site, Controlador de Domínio, Regra de Firewall DNS.
- Teste:
server01.ad.firma.localresolve para IP interno esperado. - Teste negativo: por exemplo,
example.comcontinua a usar o caminho predefinido previsto.
Troubleshooting
Se o resultado esperado não aparecer, verifica-se passo a passo o logging, o rule matching e o comportamento das policies.
Erros Típicos
- Nome interno não resolve: domínio incorreto, por exemplo,
firma.localem vez dead.firma.localVerificar domínio na Rota de Pedido e domínio de pesquisa do cliente. - Cliente VPN não resolve nomes internos: Cliente não usa o firewall ou o servidor DNS errado Verificar configurações DNS do VPN, DNS do cliente e regra de firewall.
- Firewall não consegue alcançar o servidor DNS: Falta de rota, VPN ou regra de firewall Verificar Ping, Packet Capture e Route Lookup.
- Pesquisa reversa não funciona: Falta de zona PTR ou registros PTR Verificar zona de pesquisa reversa no servidor DNS interno.
- Locais individuais fornecem respostas incorretas: Servidor de Destino incorreto ou dados de zona desatualizados Verificar ordem dos Servidores de Destino e replicação DNS.
- Nomes públicos são subitamente respondidos internamente: Rota de Pedido é muito ampla Usar domínio mais específico e evitar pensamento de curinga.
Em ambientes VPN, deve-se verificar adicionalmente se os clientes VPN recebem os servidores DNS e domínios de pesquisa corretos.
Definir testes positivos e negativos
Uma DNS Request Route só fica corretamente testada quando o nome interno pretendido funciona e também foi verificado um contraexemplo. Caso contrário, não fica claro se a route atinge exatamente a zona interna ou se o DNS está a ser redirecionado de forma demasiado ampla.
Um plano de teste curto costuma ser suficiente:
- Teste positivo: um nome interno da zona de destino resolve para o IP privado esperado, por exemplo
server01.ad.firma.local. - Teste negativo: um domínio público não afetado continua a usar o caminho predefinido previsto, por exemplo DNS global, DNS Protection ou um forwarder interno.
- Teste no cliente: executar o teste a partir da VLAN, perfil VPN ou localização afetada, não apenas diretamente na firewall.
- Verificação de logs: firewall log, DNS log ou Packet Capture mostram que a consulta chega ao resolvedor esperado.
- Regressão: repetir o mesmo teste após alterações em VPN, DHCP, DNS Protection ou routing da localização.
Este pequeno teste negativo evita efeitos secundários típicos: domínios públicos respondidos internamente, DNS Protection contornado, Split-DNS a funcionar apenas em algumas redes ou cliente VPN ainda a usar um resolvedor antigo.
FAQ
Quando é necessário uma Rota de Pedido DNS no Sophos Firewall?
Uma Rota de Pedido DNS substitui as opções DHCP-DNS?
Por que o DNS não funciona sobre VPN, embora a Rota de Pedido exista?
São necessárias Rotas de Pedido DNS para Pesquisas Reversas?
in-addr.arpa apropriada é inserida como nome do host/domínio. A zona deve estar presente no servidor DNS interno.