Saltar para o conteudo
Avanet

Configurar DNS Request Routes na Sophos Firewall

Sophos Firewall

Com DNS Request Routes, é possível definir na Sophos Firewall que DNS Server deve ser usado para determinados domínios ou redes. Isto é especialmente útil quando a Firewall usa DNS Servers públicos, mas nomes internos têm de ser resolvidos através de um DNS Server interno.

Exemplos típicos são domínios Active Directory, aplicações internas, Reverse Lookups ou ambientes VPN.

Quando são necessárias DNS Request Routes?

DNS Request Routes fazem sentido quando:

  • nomes de hosts internos como server01.firma.local têm de ser resolvidos
  • Reverse Lookups para redes IP internas devem funcionar
  • utilizadores VPN devem usar nomes internos
  • vários sites têm as suas próprias zonas DNS
  • a própria Firewall tem de alcançar sistemas internos por FQDN
  • DNS Servers públicos não conhecem nomes internos

Sem DNS Request Route, a Firewall consulta o DNS Server configurado globalmente. Se esse servidor não conhecer o domínio interno, a resolução falha.

Pré-requisitos

  • Acesso ao WebAdmin da Sophos Firewall
  • DNS Server interno está acessível
  • Domínio ou rede é conhecido
  • Regras de Firewall permitem tráfego DNS para o servidor de destino
  • Em interligações entre sites: routing para o DNS Server funciona

⚠️ Problemas de DNS parecem muitas vezes problemas de routing, VPN ou aplicação. Antes de alterações maiores, deve-se verificar se o servidor de destino é alcançável por IP e se apenas a resolução de nomes falha.

Criar uma DNS Request Route para um domínio

Uma Domain Route faz com que consultas para um domínio específico sejam enviadas para um DNS Server definido.

Exemplo:

  • Host/domain name: firma.local
  • DNS Server: 10.10.10.10

Procedimento:

  1. Iniciar sessão na Sophos Firewall.
  2. Abrir Network.
  3. Selecionar DNS.
  4. Mudar para a área DNS request route.
  5. Adicionar uma nova DNS Request Route.
  6. Em Host/domain name, inserir o domínio interno, por exemplo firma.local.
  7. Em Target servers, selecionar o DNS Server interno ou criá-lo como Host através de Create.
  8. Guardar.

Depois disso, a Firewall consulta o DNS Server indicado para esse domínio.

Sophos Firewall - adicionar DNS Request Route com DNS Server interno
Sophos Firewall - Network > DNS > Add DNS request route

Usar vários Target Servers

Em Target servers, é possível adicionar mais do que um DNS Server. Isto faz sentido quando existem vários DNS Servers internos ou quando o DNS deve estar acessível de forma redundante através de uma ligação entre sites.

Possíveis servidores de destino:

  • DNS Servers internos na rede local
  • DNS Servers do outro lado de uma ligação VPN
  • DNS Servers noutro site
  • DNS Servers públicos, se um domínio específico tiver de ser resolvido externamente de forma deliberada

A ordem é relevante. A Sophos consulta os Hosts selecionados pela ordem em que aparecem na lista. Segundo a Sophos, podem ser configurados até oito endereços IP: Add a DNS request route.

Sophos Firewall - visão geral de uma DNS Request Route para avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS para redes internas

Uma Reverse-DNS-Request-Route encaminha consultas PTR de uma rede IP interna para o DNS Server que conhece a Reverse Lookup Zone correspondente. Isto ajuda quando Logs, Reports ou serviços devem converter novamente um endereço IP num hostname.

Exemplo:

  • Rede: 172.16.16.0/24
  • DNS Server: 172.16.16.10
  • Reverse Zone: 16.16.172.in-addr.arpa

Para Reverse Lookups, cria-se igualmente uma DNS Request Route em Network > DNS > DNS request route. Em Host/domain name, não se introduz o domínio normal, mas sim a Reverse Zone.

Exemplo para 172.16.16.0/24:

16.16.172.in-addr.arpa

A ordem dos octetos é invertida. Assim, da rede 172.16.16.0/24 resulta 16.16.172.in-addr.arpa.

Para redes maiores, a Reverse Zone pode ser mais ampla. Exemplo: para 172.16.0.0/16, seria 16.172.in-addr.arpa. O fator decisivo é como a Reverse Lookup Zone foi criada no DNS Server interno.

Se no DNS Server interno não existir PTR Zone ou PTR Records, a Request Route também não resolve o problema. A Firewall só consegue enviar a consulta para o DNS Server correto; não cria entradas Reverse DNS no DNS Server.

Testes

Depois da configuração, deve-se testar a resolução de nomes:

  • A Firewall consegue resolver o nome interno?
  • A resolução funciona a partir de zonas VPN ou de utilizadores?
  • O DNS Server está acessível por Ping ou TCP/UDP 53?
  • Existem entradas no DNS Log ou Firewall Log?

Se a resolução não funcionar, deve-se verificar primeiro:

  • O domínio está escrito corretamente?
  • O cliente usa realmente a Sophos Firewall ou o DNS Server correto?
  • Uma regra de Firewall está a bloquear DNS?
  • Falta uma rota para o DNS Server?
  • O DNS Server responde a consultas da Firewall?

Erros típicos

Causas frequentes:

  • domínio incorreto, por exemplo firma.local em vez de ad.firma.local
  • DNS Server só é acessível a partir da LAN, não a partir da VPN
  • Firewall envia a consulta por uma rota errada
  • falta a Reverse Lookup Zone
  • tráfego DNS é influenciado por uma regra ou por NAT

Em ambientes VPN, deve-se verificar adicionalmente se os VPN Clients recebem os DNS Servers e Search Domains corretos.

Recomendação

DNS Request Routes devem ser tão específicas quanto possível. Uma Route para o domínio interno exato é melhor do que uma configuração demasiado ampla. Em ambientes maiores, vale a pena manter uma pequena tabela com domínio, DNS Server, site e finalidade, para que alterações futuras continuem compreensíveis.