Servicio DNS y zonas de seguridad



  • Buen día estimados

    Tengo una inquietud, resulta que tengo 1 red LAN, una DMZ donde publicaré unos servicios WEB, y 1 WAN, necesito para mi LAN un DNS (recursivo) que permita hacer caché y así optimizar un poco el uso de la WAN, también necesito el DNS(Autoritativo) para mi DMZ, para los servicios web, yo tengo un dominio propio para internet y un dominio de solo uso interno, y la duda viene ahí, dónde debo ubicar el servidor DNS, que configuración debe tener, y qué tipo de reglas se deben crear en el pfsense para que esto funcione optimamente y que no vaya a sufrir un DDoS a través del DNS.



  • Pfsense tiene bind, ahi tienes uno de los mejores que hay, solo debes tener IP fija.
      Todo lo que buscas en un dns en lo puede hacer, ya solo es cosa de que lo entiendas para configurarlo.
      Solo requieres una regla en tu wan y listo, saludos.



  • Hola, estoy intentando hacer lo mismo que describe Aleximper. @Aleximper, lo has conseguido hacer? Que pasos has seguido?
    @Periko, a que regla te refieres en el firewall?



  • Hola. Según tengo entendido la version 2.2.3 del Pfsense incorpora Unbound para la resolucion de los DNS.
    Te paso aqui unos links para ver si encuentras algo que te ayude.
    Saludos

    https://calomel.org/unbound_dns.html
    https://www.unbound.net/documentation/index.html



  • Como todos los servicios, http, smtp, dns, tu levantas un servicio en tu equipo y si no abres la comunicacion en tu firewall ese servicio no puede ser usado x el publico y como veo que la intencion es hacerlo publico ocupas la regla en tu fw para que el publica pueda hacer uso de tu dns para dar con tus dominio(s).

    Saludos.



  • Buen día

    Muchas gracias a todos sus aportes, decidí publicar el servicio web a través de NAT port forwarding, la página no es muy concurrida así que esto no genera problema, con respecto al DNS uso el de zentyal como autoritativo y de caché para el dominio interno, con respecto al DNS para la página en la web, a través del proveedor de dominios, que tiene servicio DNS, con eso tengo y todo funciona muy bien.

    Saludos