Capítulo 14 – Configurando o DNS

Introdução

O serviço de DNS (Domain Name System) é essencial para a comunicação em redes IP.
Ele traduz nomes de domínio (ex.: google.com) para endereços IP, permitindo que usuários e sistemas localizem serviços, sites e recursos internos.

No OPNsense, o serviço Unbound DNS é o resolvedor padrão. Ele pode atuar como:

Resolvedor recursivo (consulta direta aos servidores raiz).
Encaminhador (forwarder) para servidores específicos.
Filtro de conteúdo (via DNS de terceiros como Cloudflare for Families).
Repassador para domínios internos, como em ambientes com Active Directory.

Neste capítulo, você aprenderá a configurar o Unbound para:

Utilizar DNS externos com filtragem (ex.: Cloudflare).
Encaminhar consultas internas ao Active Directory.
Evitar interferência dos DNS fornecidos pelo provedor via DHCP da WAN.

Ao final, seu firewall atuará como um resolvedor rápido, seguro e controlado, com benefícios como:

Redução da latência nas consultas.
Continuidade da resolução mesmo sem Internet.
Maior segurança contra malware e conteúdo impróprio.
Suporte a domínios locais de forma confiável.

Ajustes Iniciais no Sistema

Acesse System → Settings → General.
Remova qualquer DNS listado.
Desmarque Allow DNS server list to be overridden by DHCP/PPP on WAN.
Clique em Save.

Importante

O firewall usará o próprio Unbound como resolvedor. Evitar a sobrescrita por DHCP garante consistência.

Adicionando Encaminhadores Externos

Vá em Services → Unbound DNS → Query Forwarding.
Clique em + Add.
Campo Domínio: deixe em branco (aplica-se a todas as consultas externas).
Server IP: 1.0.0.3
Descrição: Cloudflare for Families (Malware/Porn Block)
Clique em Save.
Adicione também 1.1.1.3 como encaminhador secundário.

Encaminhador para Domínio Interno (Active Directory)

Ainda em Query Forwarding, clique em + Add.
Campo Domínio: citrait.corp (ou o domínio interno da empresa).
Server IP: IP do servidor AD (ex.: 192.168.254.10).
Descrição: DNS Interno - Active Directory.
Clique em Save.

Encaminhamento Condicional

citrait.corp → resolvido pelo AD
Outros domínios → resolvidos pela Cloudflare (1.1.1.3, 1.0.0.3)

Boas Práticas

Redundância: adicione outros servidores DNS confiáveis como Google (8.8.8.8) ou Quad9.
Nomes descritivos: facilite a administração com identificações claras.
Encaminhamento condicional: essencial para domínios internos.
DNS único: use apenas Unbound ou Dnsmasq — nunca os dois simultaneamente.
Valide com nslookup ou dig: verifique se os domínios estão sendo resolvidos corretamente.
Cache compartilhado: todas as estações se beneficiam de uma resolução mais rápida.

Observações Técnicas

Unbound pode funcionar como resolvedor e encaminhador ao mesmo tempo.
DNS do provedor pode causar conflitos se a sobrescrita via DHCP não for desativada.
Encaminhadores com domínio em branco são usados como padrão.
Cloudflare for Families oferece proteção DNS contra conteúdo indesejado (1.1.1.3, 1.0.0.3).
Reinicie o serviço DNS após alterações, se necessário.

Estudo de Caso

Cenário

Empresa com domínio interno (citrait.corp) hospedado em Windows Server (AD) e desejo de aplicar filtragem DNS para usuários da rede.

Problemas

DNS da WAN sobrescrevia os resolvers manuais.
Faltava controle sobre resolução externa e segurança contra sites indesejados.

Solução

Desabilitada a sobrescrita de DNS via WAN.
Encaminhadores externos adicionados (Cloudflare for Families).
Encaminhador condicional configurado para o domínio interno (citrait.corp).
Regra de NAT DNS redirect aplicada para forçar todas as estações a usarem o DNS do firewall.

Resultados

Filtragem ativa de conteúdo e malware.
Resolução de nomes interna funcional com Active Directory.
Ambiente DNS centralizado e seguro.

Conclusão

Com a configuração correta do Unbound, o OPNsense se torna um resolvedor DNS confiável, seguro e eficiente.
Ele atende tanto às necessidades de navegação externa com filtragem, quanto às demandas internas com domínios locais — formando a base de uma rede moderna e segura.