Este artículo aborda la configuración de FortiGate como servidor DNS y el uso de perfiles de filtro DNS en múltiples interfaces. La correcta implementación de estas configuraciones es fundamental para gestionar el tráfico de DNS y asegurar la red. A través de este artículo, aprenderá cómo diagnosticar y solucionar problemas relacionados con el servicio DNS en FortiGate.
Índice
Descripción del problema
Cuando se configura FortiGate como un servidor DNS, pueden surgir complicaciones al aplicar perfiles de filtro DNS. A menudo, se necesita que las consultas DNS sean correctamente atendidas y filtradas dependiendo de la configuración aplicada, lo que puede llevar a confusiones y resultados inesperados.
Alcance
Este artículo es aplicable a hardware y máquinas virtuales de FortiGate.
Diagnóstico paso a paso
FortiGate se puede configurar como un servidor DNS habilitando el servicio DNS en interfaces específicas. Los perfiles de filtro DNS se pueden aplicar en modo recursivo y en modo de reenvío al sistema DNS. En el siguiente ejemplo, el servicio DNS está configurado para escuchar en la interfaz LAN, donde se aplica un filtro DNS que bloquea el dominio ‘example.com’.
Resultados de las consultas DNS:
nslookup example.com 10.151.6.43 (LAN)Server: UnKnownAddress: 10.151.6.43Non-authoritative answer:Name: example.comAddresses: 2620:101:9000:53::55208.91.112.55El perfil DNS filtrará el tráfico DNS basándose en la configuración del perfil y lo bloqueará utilizando la IP del portal de redirección (208.91.112.55).
El mismo comportamiento se observa al realizar una consulta DNS utilizando el DNS configurado en la interfaz WAN:
nslookup example.com 10.109.22.43 (WAN)Server: UnKnownAddress: 10.109.22.43Non-authoritative answer:Name: example.comAddresses: 2620:101:9000:53::55208.91.112.55Esto es el comportamiento esperado, ya que el perfil se aplica a la entrada original de las solicitudes DNS, que son recibidas en la interfaz LAN y filtradas por el perfil asociado a esa interfaz.
Para solventar este tipo de problema, es necesario utilizar una interfaz de destino como servidor DNS, lo que requiere de interfaces de loopback. En este ejemplo, se configuran dos loopbacks: una con un perfil de filtro DNS y otra sin él.
Resultados de las consultas DNS en loopback:
- Con perfil de filtro DNS:
nslookup example.com 172.16.16.16 (loop0)Server: UnKnownAddress: 172.16.16.16Non-authoritative answer:Name: example.comAddresses: 2620:101:9000:53::55208.91.112.55- Sin perfil de filtro DNS:
nslookup example.com 172.17.17.17 (loop1)Server: UnKnownAddress: 172.17.17.17Non-authoritative answer:Name: example.comAddresses: 2606:2800:21f:cb07:6820:80da:af6b:8b2c93.184.215.14Para que esto funcione, también se necesita una política de firewall que permita el tráfico desde la interfaz LAN hacia la interfaz loopback:
config firewall policy
edit 5
set name "lan-to-loop0"
set srcintf "port1"
set dstintf "loop0"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "DNS"
next
end
Como se observa, después de configurar la política de firewall, la segunda consulta DNS se resuelve con la IP correcta (93.184.215.14).
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!