Ir para o conteúdo

Interceptação de Consultas DNS e NTP no Firewall

Introdução

Em ambientes corporativos, a consistência das respostas DNS e a precisão do tempo de rede são fundamentais para manter a integridade da comunicação entre dispositivos e serviços.
Embora não seja um requisito obrigatório, é altamente recomendável centralizar as consultas DNS e NTP através do próprio firewall.

Ao fazer isso, você garante que todas as estações da rede obtenham respostas unificadas, provenientes da mesma fonte de confiança — o próprio OPNsense. Além de padronizar a resolução de nomes e o sincronismo de horário, esse método também bloqueia consultas diretas externas, evitando que estações ignorem as configurações internas de DNS ou NTP.

Este procedimento explica, de forma detalhada, como interceptar e redirecionar o tráfego DNS e NTP externo, fazendo com que o firewall seja o responsável direto por essas consultas.

Objetivo

Configurar regras de NAT (Port Forward) que interceptem qualquer tentativa de resolução DNS ou sincronismo NTP feita diretamente para a Internet, redirecionando-as automaticamente para o próprio firewall, de forma transparente para os usuários.

Etapas do Procedimento

1. Interceptar o tráfego DNS

O DNS (porta 53 TCP/UDP) é responsável por traduzir nomes de domínio em endereços IP. Este procedimento força todos os dispositivos da rede a usar o firewall como resolvedor.

  1. Acesse o menu Firewall → NAT → Port Forward.
  2. Clique em + Add para adicionar uma nova regra.

  3. Configure os campos conforme abaixo:

    • Interface: selecione todas as interfaces internas (ex.: LAN, DMZ, Wi-Fi), exceto os links de Internet (WANs).
    • Protocol: UDP
    • Destination / Invert: marque esta opção.
    • Destination: 127.0.0.1
    • Destination port range: DNS
    • Redirect target IP: 127.0.0.1
    • Redirect target port: DNS
    • Description: Intercepta consultas DNS para o firewall

  4. Clique em Save.

  5. Clique em Apply Changes para aplicar a regra.

A partir deste ponto, qualquer dispositivo que tentar usar um DNS externo (como 8.8.8.8 ou 1.1.1.1) terá sua consulta redirecionada automaticamente para o firewall.

2. Interceptar o tráfego NTP

O NTP (porta 123 UDP) é usado para sincronização de horário. Assim como no caso do DNS, o ideal é que todos os dispositivos sincronizem seus relógios com o mesmo servidor interno — o firewall.

  1. Acesse novamente o menu Firewall → NAT → Port Forward.
  2. Clique em + Add para criar uma nova regra.

  3. Preencha os campos da seguinte forma:

    • Interface: selecione todas as interfaces internas, exceto os links de Internet.
    • Protocol: UDP
    • Destination / Invert: marque esta opção.
    • Destination: 127.0.0.1
    • Destination port range: NTP
    • Redirect target IP: 127.0.0.1
    • Redirect target port: NTP
    • Description: Intercepta NTP para o firewall

  4. Clique em Save.

  5. Clique em Apply Changes para ativar a regra.

Com isso, qualquer cliente que tente sincronizar o horário com servidores externos (como pool.ntp.org) será redirecionado automaticamente para o NTP interno do OPNsense.

Testando o Funcionamento

Para validar se o redirecionamento está ativo, você pode fazer um teste prático de consulta DNS usando o nslookup a partir de qualquer máquina da rede.

Execute o seguinte comando:

nslookup xvideos.com 8.8.8.8

Mesmo especificando o servidor DNS do Google (8.8.8.8), a requisição será interceptada pelo firewall. Como o OPNsense, por sua vez, encaminha as consultas para servidores DNS seguros (por exemplo, 1.1.1.3 e 1.0.0.3, da Cloudflare — que bloqueiam conteúdos adultos), o resultado será filtrado, retornando uma resposta semelhante a:

Não é resposta autoritativa:
Nome:    xvideos.com
Addresses:  ::
          0.0.0.0

Esse comportamento confirma que o tráfego foi redirecionado corretamente para o firewall, e que a resolução DNS foi tratada conforme as políticas definidas no próprio OPNsense.

Considerações Finais

A interceptação de DNS e NTP é uma prática simples e poderosa para garantir padronização, rastreabilidade e segurança na rede. Além de evitar que usuários burlem configurações, ela centraliza o controle sobre os resolvedores de nomes e servidores de horário, promovendo:

  • Consistência: todos os hosts têm a mesma visão de nomes e tempo.
  • Confiabilidade: o firewall fornece respostas validadas e filtradas.
  • Controle: simplifica a auditoria e o monitoramento de tráfego DNS/NTP.

Com poucos cliques, você adiciona mais previsibilidade e governança à infraestrutura, fortalecendo a postura de segurança do ambiente.