DomineTec
Voltar para o blogSegurança e Privacidade

Como Desativar o Unbound DNS Resolver no PfSense para Usar Apenas DoH

8 min de leitura
Compartilhar:𝕏 TwitterFacebookLinkedInWhatsApp
Como Desativar o Unbound DNS Resolver no PfSense para Usar Apenas DoH
Publicidade

Resposta Direta

Publicidade

Para desativar o Unbound DNS Resolver no pfSense e usar apenas DoH, vá para Services > DNS Resolver e desmarque a opção Enable.

O pfSense, uma solução robusta de firewall e roteamento de código aberto, oferece uma variedade de funcionalidades para gerenciar e otimizar o tráfego de rede. Entre essas funcionalidades, o Unbound DNS Resolver atua como um componente essencial no processamento de consultas DNS, fornecendo uma camada adicional de segurança e flexibilidade. No entanto, com o advento do DNS over HTTPS (DoH), muitos administradores de rede estão optando por adotar essa tecnologia para aumentar a privacidade e segurança das consultas DNS, criptografando-as e evitando a interceptação por terceiros. A transição para o uso exclusivo de DoH no pfSense requer a desativação do Unbound DNS Resolver, um processo que, embora simples, deve ser realizado com atenção para evitar interrupções nos serviços de rede. Este guia detalha os passos necessários para desativar o Unbound DNS Resolver no pfSense, garantindo que todas as consultas DNS sejam processadas exclusivamente através de DoH. Ao seguir este procedimento, os administradores podem assegurar que suas redes estejam alinhadas com as melhores práticas de segurança e privacidade, aproveitando ao máximo as capacidades do pfSense enquanto adotam tecnologias modernas e seguras.

Configuração Inicial do Ambiente PfSense para Implementação de DoH

Para iniciar o processo de configuração do ambiente PfSense visando a implementação de DNS sobre HTTPS (DoH), é imperativo garantir que o sistema esteja atualizado para a versão mais recente compatível com DoH. A atualização pode ser feita através da interface web do PfSense, acessando System

Publicidade
> Update. Certifique-se de que todos os pacotes essenciais também estejam atualizados para evitar incompatibilidades.

Após a atualização do sistema, o próximo passo é desativar o Unbound DNS Resolver. Acesse a interface web do PfSense e navegue até Services

> DNS Resolver. Na página de configuração do DNS Resolver, desmarque a opção Enable para desativar o serviço. Clique em Save para aplicar as alterações.

Com o Unbound desativado, é necessário configurar o sistema para utilizar apenas DoH. Primeiro, instale um pacote compatível com DoH, como o Cloudflared

. A instalação pode ser feita através do menu System > Package Manager. No gerenciador de pacotes, procure por Cloudflared e clique em Install. Aguarde a conclusão do processo de instalação.

Uma vez instalado, configure o Cloudflared para atuar como um cliente DoH. Acesse o terminal do PfSense via SSH ou console. Edite o arquivo de configuração do Cloudflared localizado, geralmente, em /usr/local/etc/cloudflared/config.yml

. Insira as seguintes linhas para direcionar todas as consultas DNS através do Cloudflared:
  • proxy-dns: true
  • proxy-dns-port: 5053
  • proxy-dns-upstream:
    • https://1.1.1.1/dns-query
    • https://1.0.0.1/dns-query

Salve as alterações no arquivo de configuração e inicie o serviço Cloudflared com o comando service cloudflared start

. Para garantir que o serviço inicie automaticamente com o sistema, habilite-o no rc.conf.local adicionando a linha cloudflared_enable="YES".

Após configurar o Cloudflared, é necessário ajustar as configurações de DNS do PfSense. Acesse System

> General Setup e remova quaisquer servidores DNS listados. Adicione 127.0.0.1 como o único servidor DNS, garantindo que o PfSense encaminhe todas as consultas para o Cloudflared. Desmarque a opção Allow DNS server list to be overridden by DHCP/PPP on WAN para evitar que o PfSense substitua as configurações de DNS.

Para verificar se o DoH está funcionando corretamente, utilize o comando dig @127.0.0.1 -p 5053 dominetec.local

no terminal do PfSense. A resposta deve ser rápida e consistente, indicando que as consultas DNS estão sendo resolvidas através do DoH. Monitore os logs do Cloudflared em /var/log/cloudflared.log para verificar o comportamento do serviço e identificar possíveis erros ou falhas de configuração.

Finalmente, para garantir a segurança e integridade das consultas DNS, considere implementar regras de firewall para bloquear o tráfego DNS tradicional (porta 53) na interface WAN. Acesse Firewall

> Rules > WAN e adicione uma regra de bloqueio para o protocolo UDP e TCP na porta 53. Esta medida força todos os dispositivos na rede a utilizar o DoH configurado, aumentando a segurança contra ataques de interceptação de DNS.
Descriptive network diagram showing como desativar o unbound dns resolver no pfsense para usar apenas doh installation setup

Desativação do Serviço Unbound DNS Resolver no PfSense

Para desativar o serviço Unbound DNS Resolver no PfSense, é necessário acessar a interface administrativa do roteador e seguir um conjunto específico de etapas que garantem a interrupção adequada do serviço, permitindo a configuração exclusiva do DNS sobre HTTPS (DoH). Este procedimento é crítico para evitar conflitos de resoluções de DNS e assegurar que todo o tráfego DNS seja encaminhado através do DoH, garantindo maior segurança e privacidade.

Publicidade

Inicialmente, o administrador deve acessar o painel de controle do PfSense através de um navegador web, digitando o endereço IP da interface LAN do roteador. Após o carregamento da página de login, é preciso inserir as credenciais administrativas para obter acesso ao sistema. Uma vez autenticado, o próximo passo envolve a navegação pelo menu principal do PfSense, localizado na parte superior da interface.

No menu principal, selecione a opção Services

e, em seguida, clique em DNS Resolver. Esta ação direciona o usuário à página de configuração do Unbound DNS Resolver, onde todas as definições e parâmetros do serviço podem ser visualizados e modificados. Na seção superior da página, localize a caixa de seleção denominada Enable. Desmarcar esta caixa desativa o serviço Unbound DNS Resolver, interrompendo sua operação no sistema.

Após desmarcar a opção Enable

, é essencial rolar até o final da página e clicar no botão Save para aplicar as alterações. Este procedimento garante que as mudanças sejam efetivamente registradas no sistema, desativando o serviço. Adicionalmente, recomenda-se clicar no botão Apply Changes, caso esteja visível, para assegurar que todas as configurações pendentes sejam atualizadas imediatamente, evitando inconsistências de configuração.

Com o Unbound DNS Resolver desativado, o próximo passo envolve a configuração do DNS sobre HTTPS. Retorne ao menu principal e selecione System

, seguido de General Setup. Na seção DNS Servers, é possível adicionar servidores DNS compatíveis com DoH. Insira os endereços IP ou URLs dos servidores desejados, garantindo que a opção Use Gateway esteja devidamente configurada para a interface de saída correta.

É crucial que a configuração do DoH seja validada após a desativação do Unbound DNS Resolver. Para tal, utilize ferramentas de diagnóstico disponíveis no próprio PfSense, como o Diagnostics

e DNS Lookup, para verificar a resolução correta de nomes de domínio através dos novos servidores configurados. Além disso, é recomendável monitorar o tráfego DNS usando ferramentas de análise de pacotes para garantir que todos os pacotes DNS estejam sendo encapsulados via HTTPS, confirmando a eficácia da configuração.

Por fim, é importante documentar todas as alterações realizadas no sistema, incluindo a desativação do Unbound DNS Resolver e a configuração do DoH, para manter um registro detalhado das modificações de rede. Esta documentação é vital para futuras referências e para o suporte técnico em caso de necessidade de resolução de problemas. A desativação correta do Unbound, juntamente com a implementação do DoH, não só melhora a segurança e a privacidade dos usuários, mas também alinha o sistema às melhores práticas atuais de segurança de rede.

Parâmetro Unbound DNS Resolver DNS sobre HTTPS (DoH) Comparação
Funcionalidade Unbound é um resolvedor DNS validante, recursivo e de cache. Ele é usado para resolver nomes de domínio para endereços IP localmente. DoH é um protocolo para realizar resolução de Sistema de Nomes de Domínio remotamente via protocolo HTTPS. Unbound lida com a resolução de DNS localmente dentro da rede, enquanto DoH envia consultas DNS sobre HTTPS para um resolvedor remoto, aumentando a privacidade e segurança contra espionagem.
Complexidade de Configuração A configuração do Unbound no pfSense envolve a configuração de definições de resolvedor DNS local, que podem ser gerenciadas através da GUI do pfSense. DoH requer a configuração do pfSense para redirecionar consultas DNS através de um túnel HTTPS, frequentemente exigindo pacotes adicionais ou scripts personalizados. Unbound é mais simples de configurar para resolução DNS local, enquanto DoH requer uma configuração mais complexa para garantir o tunelamento e criptografia adequados.
Impacto de Desempenho Unbound geralmente fornece resolução DNS mais rápida dentro da rede local devido ao cache e processamento local. DoH pode introduzir latência devido à sobrecarga da criptografia HTTPS e comunicação com servidores externos. Enquanto Unbound oferece desempenho local otimizado, DoH prioriza a segurança com o potencial custo de aumento de latência.
Recursos de Segurança Unbound suporta DNSSEC para autenticar respostas, prevenindo spoofing de DNS e envenenamento de cache. DoH criptografa consultas DNS, protegendo contra interceptação e manipulação por terceiros. Unbound foca na integridade do DNS através do DNSSEC, enquanto DoH fornece confidencialidade ao criptografar o tráfego DNS.

Para entender mais detalhes, leia o artigo completo sobre configuração recomendada no blog

Publicidade
.

Configuração Detalhada dos Clientes DNS para Suporte Exclusivo a DoH

Para configurar os clientes DNS de forma a utilizarem exclusivamente o DNS over HTTPS (DoH) no ambiente PfSense, é crucial desativar o Unbound DNS Resolver, garantindo que o tráfego DNS seja encaminhado apenas através de servidores DoH. Primeiro, acesse o painel de administração do PfSense utilizando um navegador web e autentique-se com as credenciais apropriadas. Navegue até Services

> DNS Resolver e desmarque a caixa de seleção Enable para desativar o Unbound DNS Resolver.

Após desativar o Unbound, é necessário configurar os clientes para utilizar um serviço DoH. Isso envolve a modificação das definições de DNS nos dispositivos finais ou a implementação de um servidor intermediário que suporte DoH. Para dispositivos Windows, abra o Prompt de Comando

como administrador e execute o comando netsh interface ipv4 set dns name="NOME_DA_CONEXÃO" static ENDEREÇO_IP_DOH. Substitua NOME_DA_CONEXÃO pelo nome da interface de rede e ENDEREÇO_IP_DOH pelo endereço IP do servidor DoH desejado.

Em sistemas Linux, edite o arquivo /etc/resolv.conf

para apontar para o servidor DoH. Utilize um editor de texto como o nano ou vim e adicione a linha nameserver ENDEREÇO_IP_DOH. Certifique-se de que não haja outros servidores DNS listados que possam interferir na resolução de nomes. Para sistemas macOS, acesse as Preferências de Rede, selecione a conexão ativa e clique em Avançado. Na aba DNS, remova quaisquer entradas existentes e adicione o endereço IP do servidor DoH.

Para redes que utilizam um servidor intermediário para gerenciamento centralizado de DNS, como um servidor local de DNS que suporta DoH, configure o servidor para encaminhar todas as consultas DNS para o serviço DoH. No caso do dnscrypt-proxy

, edite o arquivo de configuração dnscrypt-proxy.toml e defina o parâmetro server_names para incluir apenas servidores que suportam DoH. Reinicie o serviço com o comando systemctl restart dnscrypt-proxy para aplicar as alterações.

Adicionalmente, é importante garantir que as regras de firewall no PfSense permitam o tráfego HTTPS necessário para o funcionamento do DoH. Navegue até Firewall

> Rules e selecione a aba WAN. Crie uma regra que permita o tráfego de saída na porta 443 para o endereço IP do servidor DoH. Verifique também as regras na aba LAN para assegurar que os dispositivos internos possam acessar o serviço DoH sem restrições.

Para verificar se as configurações foram aplicadas corretamente, utilize ferramentas de diagnóstico como nslookup

ou dig para realizar consultas DNS e confirmar que as respostas estão sendo resolvidas através do servidor DoH. No Windows, execute nslookup www.dominetec.local e observe o endereço IP do servidor listado. Em Linux e macOS, utilize dig +short www.dominetec.local e analise a saída para garantir que a resolução está sendo feita via DoH.

Finalmente, para garantir a continuidade do serviço e a segurança da rede, monitore regularmente o desempenho e a disponibilidade do servidor DoH escolhido. Considere implementar soluções de redundância, como a configuração de múltiplos servidores DoH, para evitar interrupções no serviço em caso de falha de um servidor específico. A manutenção de registros de logs e a análise periódica do tráfego DNS podem fornecer insights valiosos sobre o uso e possíveis ameaças à segurança da rede.

Publicidade
Professional engineer crimping or checking connection for como desativar o unbound dns resolver no pfsense para usar apenas doh

Implementação de Regras de Firewall para Tráfego DNS Seguro

Para garantir que o tráfego DNS seja exclusivamente roteado por meio de DoH (DNS over HTTPS), é crucial implementar regras de firewall adequadas no pfSense. Este processo envolve a configuração de regras que bloqueiam o tráfego DNS padrão e permitem apenas o tráfego DNS seguro. O primeiro passo é acessar a interface de administração do pfSense e navegar até Firewall

> Rules.

Na seção de regras, selecione a aba LAN

para configurar as regras de saída de tráfego. Clique em Add para criar uma nova regra de firewall. Defina a Action como Block, o Interface como LAN, e o Protocol como TCP/UDP. No campo Source, escolha any ou especifique um IP de origem se necessário. Para o Destination, defina como any e especifique o Destination Port Range como DNS (53).

Com esta regra, o tráfego DNS padrão na porta 53 será bloqueado, forçando os clientes a utilizarem DoH. A seguir, é necessário criar uma regra para permitir o tráfego HTTPS, que é o protocolo utilizado pelo DoH. Clique novamente em Add

para criar outra regra. Defina a Action como Pass, o Interface como LAN, e o Protocol como TCP. No campo Source, mantenha como any ou especifique conforme necessário.

Para o Destination

, defina como any e especifique o Destination Port Range como HTTPS (443). Esta regra permitirá que o tráfego DNS seja encapsulado em HTTPS, garantindo que apenas consultas DNS seguras sejam realizadas. Após a configuração das regras, é essencial aplicar as alterações clicando em Save e, em seguida, em Apply Changes para que as novas regras entrem em vigor.

Para verificar a eficácia das regras configuradas, utilize ferramentas de rede como nslookup

ou dig em um cliente na rede para realizar consultas DNS. As consultas devem falhar na porta 53 e ter sucesso na porta 443, confirmando que o tráfego DNS está sendo roteado exclusivamente por meio de DoH. Além disso, é recomendável monitorar os logs de firewall do pfSense para assegurar que o tráfego DNS não autorizado está sendo devidamente bloqueado.

É importante considerar que a implementação de DoH pode introduzir latência adicional, dependendo da localização dos servidores DoH utilizados. Portanto, ao selecionar um provedor de DoH, deve-se considerar a proximidade geográfica e a confiabilidade do serviço. Além disso, a configuração de DoH pode interferir em certas funcionalidades de rede que dependem de DNS tradicional, como bloqueios de conteúdo baseados em DNS ou redirecionamento de DNS.

Para mitigar impactos negativos, pode ser necessário ajustar políticas de DNS na rede, como implementar listas de permissões ou exceções para certos domínios. Finalmente, para organizações que requerem maior controle sobre o tráfego DNS, a implementação de um servidor intermediário que suporte DoH, como o Cloudflare Gateway

Publicidade
ou NextDNS, pode oferecer funcionalidades adicionais de segurança e filtragem.

Recomenda-se também a leitura do guia sobre boas práticas de infraestrutura física e lógica

.

Testes de Conectividade e Solução de Problemas em Ambientes DoH

Para garantir que o DNS over HTTPS (DoH) esteja funcionando corretamente após a desativação do Unbound DNS Resolver no PfSense, é essencial realizar testes de conectividade detalhados e solucionar quaisquer problemas que possam surgir. O primeiro passo é verificar se o PfSense está configurado para encaminhar consultas DNS apenas através de DoH. Navegue até System

> General Setup e certifique-se de que os servidores DNS listados são compatíveis com DoH.

Em seguida, acesse Services

> DNS Resolver e confirme que o serviço está desativado. Para realizar testes de conectividade, utilize ferramentas de linha de comando como dig ou nslookup em um terminal. Execute o comando dig @8.8.8.8 dominetec.local para verificar se as consultas DNS estão sendo resolvidas corretamente através de um servidor externo.

Se as consultas falharem, verifique a configuração de firewall do PfSense. Acesse Firewall

> Rules e revise as regras de saída para garantir que o tráfego DNS (porta 53) esteja bloqueado, enquanto o tráfego HTTPS (porta 443) esteja permitido. Para um diagnóstico mais avançado, utilize ferramentas de captura de pacotes como tcpdump. Execute tcpdump -i em0 port 443 para monitorar o tráfego HTTPS e confirmar que as solicitações DNS estão sendo encapsuladas corretamente.

Se não houver tráfego DoH visível, verifique os logs do PfSense em Status

> System Logs > Firewall. Analise os logs para identificar bloqueios ou falhas de roteamento. Além disso, é crucial verificar a configuração do cliente. Certifique-se de que o navegador ou sistema operacional esteja configurado para usar DoH, o que pode ser feito nas configurações de rede ou diretamente no navegador, dependendo do suporte ao DoH.

Para navegadores como Firefox, acesse Preferences

> General > Network Settings e ative o DoH. Em sistemas operacionais como Windows, use o comando netsh interface ipv4 show dns para verificar as configurações DNS. Se o problema persistir, considere revisar a configuração do servidor DoH. Certifique-se de que o servidor especificado está ativo e funcionando corretamente. Utilize ferramentas online de verificação de servidores DNS para testar a resposta do servidor DoH diretamente.

Caso os problemas de conectividade persistam, examine as configurações de proxy ou VPN, que podem interferir no tráfego DNS. Desative temporariamente qualquer proxy ou VPN e teste novamente a conectividade DoH. Se uma VPN estiver em uso, certifique-se de que ela suporta DoH e que as configurações estão corretas. Finalmente, se todos os testes falharem, considere consultar a documentação oficial do PfSense e do provedor de DoH para obter diretrizes de solução de problemas mais específicas.

A implementação de scripts de monitoramento contínuo pode ser uma solução proativa para detectar falhas futuras na conectividade DoH. Scripts em linguagens como Python podem ser configurados para realizar consultas DNS periódicas e alertar administradores em caso de falhas. Além disso, a integração com sistemas de monitoramento como Nagios ou Zabbix pode fornecer uma visão abrangente da saúde do sistema DNS. A manutenção regular e a revisão das políticas de segurança são essenciais para garantir a confiabilidade e a segurança do ambiente DoH.

Publicidade
Router setup and configuration interface status showing como desativar o unbound dns resolver no pfsense para usar apenas doh

Perguntas Frequentes (FAQ)

Como posso desativar o Unbound DNS Resolver no pfSense?

Para desativar o Unbound DNS Resolver no pfSense, acesse a interface web do pfSense, vá para "Services" e selecione "DNS Resolver". Desmarque a opção "Enable" e salve as configurações.

Por que eu deveria usar apenas DoH em vez do Unbound DNS Resolver?

O uso exclusivo de DoH (DNS over HTTPS) oferece maior privacidade e segurança, pois criptografa as consultas DNS, impedindo a interceptação por terceiros. Isso é particularmente importante em redes não confiáveis.

Quais são os passos para configurar DoH no pfSense?

Após desativar o Unbound, instale um pacote como o DNSCrypt-Proxy que suporta DoH. Configure-o para usar servidores DNS que suportam DoH e ajuste as regras de firewall conforme necessário.

Existem riscos associados à desativação do Unbound no pfSense?

Desativar o Unbound pode levar a falhas de resolução DNS se o DoH não estiver configurado corretamente. É crucial garantir que o DoH esteja funcional antes de desativar o Unbound.

Gostou? Compartilhe!

𝕏 TwitterFacebookLinkedInWhatsApp
Publicidade

Escrito por

DomineTec

Equipe DomineTec — trazendo as melhores dicas sobre tecnologia, segurança digital, empregos e finanças.

Receba as melhores dicas no seu e-mail

Tecnologia, segurança digital, finanças e empregos — tudo que importa, direto na sua caixa de entrada. 100% gratuito, sem spam.

Respeitamos sua privacidade. Cancele a qualquer momento.

Posts Relacionados

📝Segurança e Privacidade

Como Configurar Proxy Web Cache com Squid no PfSense

Este guia completo apresenta os passos necessários para configurar um proxy web cache utilizando o Squid no PfSense, incluindo métricas e perguntas frequentes.

DomineTec
5 min
📝Segurança e Privacidade

Como Configurar e Limpar DNS Cache no Roteador Mikrotik

Este artigo fornece um guia completo para configurar e limpar o cache DNS em roteadores Mikrotik.

DomineTec
5 min
📝Segurança e Privacidade

Como Configurar Tempo de Concessão DHCP (Lease Time) na UniFi

Este artigo explica como ajustar o tempo de concessão DHCP em dispositivos UniFi, garantindo uma gestão eficiente de endereços IP.

DomineTec
5 min

Mais em Segurança e Privacidade

Ver todos
Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)
Segurança e Privacidade

Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)

Saber como descobrir se seus dados foram vazados na internet se tornou uma necessidade urgente em 2026. Vazamentos de CPF, e-mail, senhas, números de telefone e até dados bancários estão cada vez mais comuns, expondo milhões de pessoas a fraudes financeiras, clonagem de contas e golpes digitais. Neste guia completo, você vai aprender como identificar sinais de vazamento, consultar seus dados em ferramentas confiáveis e agir rapidamente para proteger sua segurança digital.

DomineTec
5 min
10 boas práticas de segurança digital que todos deveriam adotar
Segurança e Privacidade

10 boas práticas de segurança digital que todos deveriam adotar

Com a crescente exposição de dados na internet, proteger sua segurança digital é mais urgente do que nunca. Neste post, você vai descobrir 10 boas práticas essenciais para proteger senhas, e-mails, contas bancárias, arquivos pessoais e toda a sua navegação online. O conteúdo é prático, direto e incl

DomineTec
5 min
Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo
Segurança e Privacidade

Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo

Perdeu o celular ou foi roubado? Aprenda como encontrar um celular perdido rapidamente usando ferramentas nativas do Android e iPhone, e o que fazer em caso de roubo.

DomineTec
5 min
Como saber se meus dados foram vazados
Segurança e Privacidade

Como saber se meus dados foram vazados

Milhares de brasileiros já foram vítimas de vazamentos de dados. Aprenda a identificar se você também foi afetado, como agir em caso de exposição e como evitar novos riscos.

DomineTec
5 min
Publicidade