Esta configuración es esencial para quienes desean mejorar la seguridad y el control sobre la navegación en su red, asegurando que todas las solicitudes DNS, sin importar qué servidores DNS estén configurados en los dispositivos, pasen por OPNsense. Exploraremos cómo habilitar el Unbound DNS en OPNsense y aplicaremos reglas de firewall que bloqueen el uso de servidores DNS externos, reforzando el control centralizado de las consultas DNS. Es especialmente útil en redes empresariales o domésticas, donde se busca aumentar la seguridad, implementar políticas de filtrado y proteger la red contra consultas DNS no autorizadas o ataques DNS como el spoofing.
- Lo primero que haremos será habilitar la opción «Unbound DNS > General» y seleccionar las interfaces donde queremos que aplique. En este ejemplo, será para las interfaces LAN, VPN_WIREGUARD y WIFI:
- A continuación, habillitaremos los logs en la sección de «Advanced«:
- Agregamos las listas de bloqueo que queramos dentro de la sección «Blocklist«:
- Configuramos las reglas de NAT para interceptar todas las peticiones DNS independientemente del servidor destino y redirigiéndolas al propio Opnsense (127.0.0.1):
- La regla de navegación que nos generan las propias de regla de NAT deberemos subirlas por encima de la «Defult Deny». Si queréis, podéis ponerla lo mas arriba posible:
- Por último, para poder ver los logs de manera gráfica en la sección de deberemos habilitar lo siguiente dentro de la sección «Reporting > Settings«:
Y ya estaría funcionando correctamente:
Al seguir esta guía paso a paso, has logrado configurar OPNsense para redirigir todo el tráfico DNS de tu red, garantizando que las consultas sean gestionadas de manera centralizada por el propio firewall.
Esta configuración no solo te otorga un mayor control sobre la resolución de nombres de dominio, sino que también fortalece la seguridad de tu red al bloquear el uso de servidores DNS no autorizados. Con OPNsense actuando como el resolutor DNS principal, puedes implementar fácilmente políticas de seguridad adicionales como el uso de DNSSEC o el filtrado de contenido, mejorando tanto la privacidad como la protección de los usuarios en tu red. Ya sea para entornos empresariales o domésticos, esta configuración asegura que toda la actividad de navegación en tu red esté bajo tu control y supervisión, creando una infraestructura más robusta y segura frente a amenazas cibernéticas relacionadas con el DNS.