Voltar para o blog Segurança e Privacidade

Como Bloquear Portas de DNS Alternativos (Porta 53) no Roteador PfSense

8 min de leitura

Compartilhar:𝕏 Twitter Facebook LinkedIn WhatsApp

Como Bloquear Portas de DNS Alternativos (Porta 53) no Roteador PfSense

Direct Answer

Para bloquear portas de DNS alternativos no roteador PfSense, configure regras de firewall que neguem o tráfego na porta 53.

O PfSense, uma plataforma de firewall de código aberto amplamente utilizada, oferece uma gama de funcionalidades robustas para a gestão e controle de tráfego em redes complexas. A necessidade de bloquear portas de DNS alternativos, como a porta 53, surge frequentemente em cenários onde a segurança da rede e a conformidade com políticas internas são prioridades. Ao impedir que dispositivos na rede utilizem servidores DNS não autorizados, as organizações podem mitigar riscos associados a vazamentos de dados, ataques de phishing e outros tipos de ameaças cibernéticas. Para implementar essa medida de segurança no PfSense, os administradores de rede precisam configurar regras de firewall específicas que neguem o tráfego de saída e entrada na porta 53, garantindo que todo o tráfego DNS passe apenas pelos servidores DNS autorizados. Este processo envolve o uso da interface de administração do PfSense para definir parâmetros precisos que alinhem com as políticas de segurança da organização, assegurando que o controle de acesso seja mantido de forma eficiente e eficaz. O domínio sobre essas configurações é essencial para manter a integridade e a segurança da infraestrutura de rede em qualquer ambiente empresarial.

Configuração Inicial do PfSense para Bloqueio de Portas DNS

Para iniciar o processo de bloqueio de portas DNS no roteador PfSense, é essencial acessar a interface de administração web do dispositivo. Primeiro, conecte-se à interface web navegando para o endereço IP do PfSense, geralmente configurado como 192.168.1.1

, e faça login com credenciais administrativas. Uma vez logado, navegue até a seção Firewall no menu principal e selecione a opção Rules.

Dentro da seção de regras de firewall, é necessário criar uma nova regra para bloquear o tráfego na porta 53, que é usada para DNS. Clique no botão Add

para iniciar a configuração de uma nova regra. Na página de configuração da regra, defina a Interface como LAN para aplicar a regra à rede interna. Em Protocol, selecione TCP/UDP para garantir que ambas as formas de tráfego DNS sejam cobertas.

Na seção Source

, defina como any para bloquear qualquer origem que tente acessar DNS alternativo. Para a seção Destination, configure o Address como any e a Port como 53 (DNS). Esta configuração garante que qualquer tentativa de comunicação DNS através da porta 53 seja interceptada e bloqueada.

Na seção Description

, insira uma descrição clara, como "Bloqueio de DNS Alternativo", para facilitar a identificação da regra no futuro. Após preencher todas as informações, clique em Save para salvar a configuração da nova regra. Não se esqueça de aplicar as mudanças clicando no botão Apply Changes no topo da página para que as regras de firewall entrem em vigor.

Além disso, é recomendável verificar as regras de NAT (Network Address Translation) para garantir que não haja exceções que permitam tráfego DNS indesejado. Navegue até Firewall

> NAT e revise as configurações existentes. Caso haja regras que permitam a passagem de tráfego DNS, modifique ou exclua conforme necessário para manter a segurança da rede.

Para garantir que as configurações foram aplicadas corretamente, utilize a ferramenta de diagnóstico do PfSense. Acesse Diagnostics

> Packet Capture e configure para capturar pacotes na interface LAN filtrando pela porta 53. Inicie a captura e monitore se há pacotes DNS sendo bloqueados conforme esperado.

Com estas configurações, o PfSense estará preparado para bloquear efetivamente o uso de servidores DNS alternativos através da porta 53, reforçando a segurança da rede contra acessos não autorizados e prevenindo possíveis vazamentos de dados. É importante revisar periodicamente as regras de firewall para garantir que não haja brechas ou configurações incorretas que possam comprometer a segurança da rede.

Descriptive network diagram showing como bloquear portas de dns alternativos (porta 53) no roteador pfsense installation setup

Criação de Regras de Firewall para Filtragem de Tráfego DNS

A configuração de regras de firewall no pfSense para bloquear portas DNS alternativas, especificamente a porta 53, é um processo meticuloso que requer atenção aos detalhes na interface de administração do pfSense. Para iniciar, o administrador deve acessar a interface web do pfSense, geralmente disponível no endereço IP padrão do gateway da rede local, como 192.168.1.1. Uma vez autenticado com as credenciais de administrador, o usuário deve navegar até o menu principal e selecionar Firewall

, seguido por Rules.

Na seção Firewall Rules

, o administrador deve garantir que está na aba LAN, que é onde as regras de saída são configuradas para o tráfego que sai da rede interna. Para criar uma nova regra, clique no botão + no canto superior direito. Na página de configuração da nova regra, o administrador deve definir o Action como Block para garantir que o tráfego DNS indesejado seja bloqueado. Em seguida, o campo Interface deve ser definido como LAN para aplicar a regra à rede local.

É essencial especificar o protocolo correto para a regra de bloqueio. No campo Protocol

, selecione TCP/UDP, pois o DNS pode operar em ambos os protocolos. No campo Source, defina como any para bloquear todas as origens possíveis dentro da rede local. No campo Destination, defina também como any, mas é importante especificar a porta de destino. No campo Destination Port Range, insira 53 em ambos os campos From e To para bloquear especificamente o tráfego DNS na porta 53.

Para garantir que a regra seja aplicada corretamente, o administrador pode adicionar uma descrição clara e concisa no campo Description

, como "Bloqueio de DNS Alternativo - Porta 53". Após configurar todos os campos necessários, role até o final da página e clique em Save para salvar a nova regra. É crucial aplicar as alterações clicando no botão Apply Changes no topo da página de regras de firewall, garantindo que as novas configurações entrem em vigor imediatamente.

Após a aplicação das regras, é recomendável verificar se as regras estão funcionando conforme esperado. Para isso, o administrador pode utilizar ferramentas de diagnóstico incorporadas ao pfSense, como o Packet Capture

. Navegue até Diagnostics, depois Packet Capture, e configure uma captura de pacotes na interface LAN filtrando por porta 53. Inicie a captura e, em seguida, tente realizar uma consulta DNS através de um cliente na rede local para verificar se o tráfego está sendo bloqueado.

Se a captura de pacotes mostrar que o tráfego DNS está sendo bloqueado conforme esperado, a configuração está correta. Caso contrário, o administrador deve revisar as configurações da regra de firewall e garantir que não haja regras conflitantes que possam estar permitindo o tráfego DNS. Para uma segurança adicional, o administrador pode considerar a implementação de regras adicionais para bloquear outros métodos de resolução de DNS, como DNS sobre HTTPS (DoH) ou DNS sobre TLS (DoT), que podem operar em portas diferentes.

Finalmente, é importante documentar todas as alterações feitas na configuração do firewall para referência futura. Isso inclui capturas de tela das regras criadas, descrições detalhadas das mudanças e qualquer ajuste adicional necessário para manter a integridade da segurança da rede. A manutenção de uma documentação robusta ajuda a garantir que as configurações possam ser auditadas e ajustadas conforme necessário, mantendo a segurança da rede em um nível elevado.

Parameter	Description	Technical Specifications	Implementation in pfSense
Hardware Requirements	Necessary hardware components to run pfSense effectively for DNS blocking.	Minimum: 1 GHz CPU, 1 GB RAM, 4 GB storage. Recommended: Multi-core CPU, 4 GB RAM, SSD storage.	Ensure your pfSense device meets or exceeds these specifications for optimal performance.
Voltage Stats	Power requirements for pfSense appliances.	Typical input voltage: 110-240V AC, Power consumption: 10-50W depending on load and hardware.	Check the power supply unit of your pfSense appliance to ensure it matches these voltage requirements.
Routing Modes	Network routing capabilities and configurations supported by pfSense.	Supports static routing, dynamic routing (OSPF, BGP), and policy-based routing.	Configure routing modes via the pfSense web interface under System > Routing.
Cable Standards	Network cabling standards compatible with pfSense appliances.	Ethernet standards: Cat 5e, Cat 6, Cat 6a, and fiber optic options for higher throughput.	Ensure network cables used are compliant with these standards to maintain network integrity.

Para entender mais detalhes, leia o artigo completo sobre configuração recomendada no blog

Implementação de Alias para Endereços IP de Servidores DNS Alternativos

Para bloquear efetivamente o acesso a servidores DNS alternativos através da porta 53 no roteador PfSense, é essencial criar um alias que agrupe os endereços IP desses servidores. Este procedimento facilita a gestão das regras de firewall, permitindo que todas as conexões de saída para servidores DNS não autorizados sejam interceptadas e bloqueadas. Comece acessando a interface de administração do PfSense através de um navegador web, inserindo o endereço IP do roteador na barra de endereços.

Após o login, navegue até Firewall

> Aliases. Na aba IP, clique no botão Add para criar um novo alias. No campo Name, insira um nome descritivo para o alias, como "DNS_Alternativos". Este nome será utilizado nas regras de firewall para referenciar o grupo de endereços IP.

No campo Description

, forneça uma descrição detalhada, como "Endereços IP de servidores DNS alternativos bloqueados". Esta descrição ajuda a identificar rapidamente a finalidade do alias. No campo Type, selecione Host(s) se os endereços IP forem específicos, ou Network(s) caso envolvam sub-redes completas.

Na seção IP or FQDN

, insira os endereços IP dos servidores DNS que deseja bloquear. Exemplos comuns incluem 8.8.8.8 e 8.8.4.4 para os servidores do Google, ou 1.1.1.1 e 1.0.0.1 para os servidores da Cloudflare. Caso existam múltiplos endereços, separe-os por vírgulas para que todos sejam incluídos no mesmo alias.

Após inserir todos os endereços IP desejados, clique em Save

para armazenar o alias. Este alias agora pode ser utilizado nas regras de firewall para bloquear o tráfego DNS de saída. Navegue até Firewall > Rules e selecione a aba LAN para criar uma nova regra.

Clique em Add

para adicionar uma nova regra de firewall. No campo Action, selecione Block para impedir o tráfego. No campo Interface, escolha LAN para aplicar a regra ao tráfego de saída da rede local.

Para o campo Protocol

, selecione TCP/UDP, pois o DNS pode operar tanto em TCP quanto em UDP. No campo Source, selecione any para aplicar a regra a todas as máquinas da rede local. No campo Destination, selecione Single host or alias e insira o nome do alias criado anteriormente, "DNS_Alternativos".

No campo Destination Port Range

, insira 53 em ambos os campos From e To para especificar que a regra se aplica apenas ao tráfego DNS. No campo Description, insira uma descrição como "Bloqueio de DNS alternativo" para documentar a finalidade da regra.

Após configurar todos os campos, clique em Save

para salvar a regra. Em seguida, clique em Apply Changes para aplicar as alterações ao firewall. Esta configuração garante que quaisquer tentativas de utilizar servidores DNS alternativos sejam bloqueadas, forçando o uso do servidor DNS configurado no PfSense.

Para verificar se a regra está funcionando corretamente, utilize ferramentas de rede como o ping

ou nslookup a partir de um dispositivo na rede local, tentando resolver um nome de domínio através de um dos servidores DNS bloqueados. Se a configuração estiver correta, a resolução falhará, indicando que o bloqueio está ativo.

Esta abordagem centralizada de gestão de DNS fortalece a segurança da rede, prevenindo que dispositivos individuais contornem as políticas de DNS definidas pelo administrador. A implementação de aliases no PfSense para endereços IP de servidores DNS alternativos é uma prática recomendada para garantir conformidade com as políticas de rede e segurança.

Professional engineer crimping or checking connection for como bloquear portas de dns alternativos (porta 53) no roteador pfsense

Monitoramento e Log de Atividades de Bloqueio no PfSense

Para garantir que as regras de bloqueio de portas DNS no roteador PfSense estejam funcionando conforme o esperado, é essencial implementar um sistema robusto de monitoramento e log. O primeiro passo é acessar a interface web do PfSense, navegando até Status

e, em seguida, System Logs. Aqui, é possível visualizar todos os logs de atividades de rede, incluindo tentativas de conexão bloqueadas.

Dentro da seção System Logs

, selecione a aba Firewall. Esta aba exibe logs de todas as atividades relacionadas ao firewall, incluindo pacotes que foram bloqueados pelas regras configuradas. Para uma análise mais detalhada, clique em Advanced Log Filter, onde é possível aplicar filtros específicos para visualizar apenas as entradas relacionadas à porta 53.

Para configurar o PfSense para registrar logs detalhados de tentativas de conexão à porta 53, navegue até Firewall

> Rules. Localize a regra de bloqueio configurada para a porta 53 e clique no ícone de lápis para editar. No campo Log, certifique-se de que a opção Log packets that are handled by this rule esteja marcada, garantindo que todas as tentativas de conexão sejam registradas.

Após configurar o log, é importante verificar regularmente as entradas para identificar padrões ou tentativas persistentes de acesso. Isso pode ser feito exportando os logs para análise externa. No menu Status

> System Logs, clique em Download para exportar os logs em formato CSV ou texto, facilitando a análise com ferramentas de terceiros.

Além disso, para um monitoramento contínuo e em tempo real, considere a integração do PfSense com sistemas de análise de logs como o Graylog

ou Splunk. Isso pode ser feito através do envio dos logs via syslog. Navegue até Status > System Logs > Settings e configure o Remote Logging Options, inserindo o endereço IP e a porta do servidor de logs remoto.

Para garantir que o sistema de logs não seja sobrecarregado, estabeleça uma política de retenção de logs. No menu Status

> System Logs > Settings, ajuste o campo Log Retention para definir o período máximo de retenção dos logs, balanceando entre a necessidade de armazenamento e a capacidade do sistema.

O uso de notificações em tempo real pode ser configurado para alertar os administradores sobre tentativas de acesso bloqueadas. Isso pode ser feito através da configuração de alertas por e-mail. No menu System

> Advanced > Notifications, configure o servidor SMTP e os detalhes do destinatário para enviar alertas quando eventos específicos forem registrados nos logs.

Finalmente, para garantir a integridade e a segurança dos logs, é recomendado habilitar a opção de logs criptografados. Isso pode ser feito configurando um túnel VPN para o servidor de logs ou utilizando protocolos seguros como TLS para o envio de logs. Essa prática previne a interceptação ou manipulação dos logs durante a transmissão.

Recomenda-se também a leitura do guia sobre boas práticas de infraestrutura física e lógica

Testes de Validação e Solução de Problemas de Bloqueio de DNS

Após configurar o bloqueio de portas de DNS alternativos no roteador PfSense, é crucial realizar testes de validação para garantir que as regras de firewall estejam operando conforme o esperado. O primeiro passo envolve a verificação da conectividade de rede e a confirmação de que o roteador está devidamente configurado para gerenciar o tráfego de DNS. Utilize o comando ping

para testar a conectividade com servidores DNS conhecidos, como o 8.8.8.8 do Google, para garantir que a rede está operacional.

Para validar o bloqueio de DNS, utilize o utilitário nslookup

em um terminal de cliente para tentar resolver um nome de domínio através de um servidor DNS alternativo. Se o bloqueio estiver ativo, a tentativa de resolução deve falhar. O comando típico seria nslookup dominetec.local 8.8.8.8, onde 8.8.8.8 representa um servidor DNS público, e a falha na resolução indicará que o bloqueio está funcionando corretamente.

Em seguida, acesse o console de administração do PfSense e navegue até Status > System Logs > Firewall

. Examine os logs para identificar entradas que indiquem tentativas de conexão na porta 53 que foram bloqueadas. As entradas no log devem mostrar o endereço IP de origem, o destino e a ação tomada (bloqueio), confirmando que as regras estão sendo aplicadas.

Caso o bloqueio não esteja funcionando como esperado, revise as regras de firewall configuradas. Navegue até Firewall > Rules

e verifique se as regras aplicadas à interface correta estão ativadas e na ordem correta. Assegure-se de que a regra de bloqueio de DNS esteja posicionada antes de qualquer regra que permita o tráfego geral de saída, para evitar conflitos.

Se as regras parecem corretas, mas o bloqueio ainda não é eficaz, verifique se há atualizações de firmware ou patches disponíveis para o PfSense, pois problemas conhecidos podem ser corrigidos em versões mais recentes. Além disso, considere revisar as configurações de NAT e qualquer configuração de bypass que possa estar afetando o comportamento esperado das regras de firewall.

Para diagnósticos avançados, utilize o utilitário Packet Capture

do PfSense, acessível em Diagnostics > Packet Capture. Configure o capture para monitorar o tráfego na porta 53 e analise os pacotes para verificar se há tráfego inesperado que possa estar burlando as regras de firewall.

Se o problema persistir, examine as configurações de DNS nos dispositivos clientes para garantir que não estejam configurados para usar servidores DNS alternativos que possam estar fora do controle do roteador. Além disso, considere a possibilidade de dispositivos na rede estarem utilizando protocolos DNS sobre HTTPS (DoH) ou DNS sobre TLS (DoT), que podem não ser bloqueados pelas regras tradicionais de firewall.

Por fim, documente todas as alterações realizadas e os resultados dos testes para referência futura e para facilitar a solução de problemas em caso de incidentes similares. Manter um registro detalhado das configurações e dos procedimentos de teste pode ser inestimável para a manutenção contínua da segurança e funcionalidade da rede.

Router setup and configuration interface status showing como bloquear portas de dns alternativos (porta 53) no roteador pfsense

Perguntas Frequentes (FAQ)

Como posso bloquear portas de DNS alternativos no roteador PfSense?

Para bloquear portas de DNS alternativos no PfSense, acesse a interface web do roteador e vá para "Firewall" > "Rules". Crie uma nova regra que bloqueie o tráfego de saída na porta 53 para todos os protocolos, garantindo que apenas os servidores DNS autorizados possam ser acessados.

Por que é importante bloquear portas DNS alternativas?

Bloquear portas DNS alternativas impede que dispositivos na rede usem servidores DNS não autorizados, o que pode ser uma brecha de segurança. Isso ajuda a garantir que as políticas de segurança e filtragem de conteúdo configuradas no DNS principal sejam seguidas por todos os usuários da rede.

Quais são os impactos de bloquear portas DNS no PfSense?

Bloquear portas DNS no PfSense pode melhorar a segurança da rede, mas também pode causar problemas de conectividade se não for configurado corretamente. É crucial testar as configurações para garantir que o acesso à internet não seja interrompido para os usuários legítimos.

Como posso verificar se as regras de bloqueio de DNS estão funcionando corretamente?

Para verificar se as regras de bloqueio de DNS estão funcionando, use ferramentas de diagnóstico no PfSense como "Packet Capture" e "Firewall Logs". Monitorar o tráfego de rede e verificar logs pode confirmar se o tráfego DNS indesejado está sendo bloqueado conforme esperado.