Configuración de DNSWatch

Cuando habilita DNSWatch en Firebox, configura un ajuste de cumplimiento de DNSWatch, lo cual controla qué DNS saliente solicita que el Firebox redireccione a DNSWatch. Para la mayoría de las redes, recomendamos que habilite la imposición de DNSWatch en todas las interfaces. Si prefiere deshabilitar la imposición y tiene un servidor DNS local, consulte Ejemplo 4 — Servidor DNS local; imposición de DNSWatch deshabilitada.

Para más información sobre el ajuste de imposición, consulte Habilitar DNSWatch en su Firebox.

Configuraciones de Ejemplo

Estos ejemplos describen cómo configurar DNSWatch y otros ajustes de DNS en el Firebox y en su red.

Ejemplo 4 — Servidor DNS local; imposición de DNSWatch deshabilitada

Si desea que DNSWatch proteja su red, pero no quiere habilitar la imposición de DNSWatch, puede usar la configuración en este ejemplo.

Diagrama de una red con DNSWatch (Ejemplo de Configuración 4)

Configuración de red

DHCP

En este ejemplo, tiene clientes DHCP en su red, y el servidor DHCP es ya sea el Firebox o un servidor DHCP local.

Si el Firebox es su servidor DHCP, habilite el reenvío de DNS en el Firebox. Cuando el reenvío de DNS está habilitado, y cuando el Firebox está configurado como un servidor DHCP, este proporciona su propia dirección IP como servidor DNS a los clientes DHCP.

Si tiene un servidor DHCP local, puede configurarlo para proporcionar el servidor DNS local a los clientes DHCP.

DNS

En su servidor DNS local, recomendamos que configure un reenviador para la dirección IP del Firebox.

En nuestro ejemplo, configuramos un reenviador para la dirección IP del Firebox 10.0.1.1 en Windows Server 2016.

Screen shot of the DNS Forwarders configuration in Windows Server 2016

Opcionalmente, puede configurar reenviadores que apuntan a direcciones IP de DNSWatch.

Screen shot of the DNS Forwarders configuration in Windows Server 2016

Puede obtener estas direcciones IP desde la Web UI de DNSWatch, que incluye todas las direcciones IP regionales de DNSWatch. Las direcciones IP de DNSWatch se resuelven al dominio dnswatch.watchguard.com. Para obtener una lista de los resolvedores de DNSWatch actuales, consulte Resolvedores DNSWatch. Si las direcciones IP de DNSWatch cambian, debe actualizar manualmente estos reenviadores con las nuevas direcciones IP.

Recomendamos que no configure reenviadores que no sean direcciones IP de DNSWatch. Si su servidor DNS está configurado para contactar a los reenviadores de DNS simultáneamente, en lugar de hacerlo de forma secuencial, es posible que algunas solicitudes de DNS se envíen a servidores DNS que no sean de DNSWatch. Esto significa que sus usuarios no siempre estarán protegidos por DNSWatch.

Es posible que la memoria caché de su servidor DNS local contenga entradas para dominios que DNSWatch considera maliciosos. Recomendamos que vacíe la memoria caché de DNS en cualquier servidor DNS local después de habilitar DNSWatch. Cuando vacía la memoria caché, las solicitudes de DNS de recursos externos son resueltas por DNSWatch, en lugar de la memoria caché del servidor DNS local.

Para obtener más información sobre los ajustes de reenvío de DNS en su servidor, consulte la documentación de su sistema operativo.

DNSWatch no es compatible con sugerencias de raíz. En un servidor Windows, si tiene tanto reenviadores como sugerencias de raíz configurados, se usan sugerencias de raíz si los reenviadores no responden. Para obtener los mejores resultados con DNSWatch, le recomendamos que desmarque la opción Usar sugerencias de raíz si no hay reenviadores disponibles en la pestaña Reenviadores.

Configuración de Firebox

Tiene una red interna en la interfaz De Confianza.

La lista de Servidores de Red (Global) incluye su servidor DNS local y servidores DNS públicos. Las razones comunes para incluir el servidor DNS local en la configuración del Firebox son las siguientes:

Quiere que el Firebox distribuya el servidor DNS local con DHCP, pero un servidor DNS de Interfaz no está configurado en el Firebox.
Quiere habilitar la resolución de dominio local para usuarios de Mobile VPN with IPSec, Mobile VPN with IKEv2 o Mobile VPN with L2TP.

El servidor DNS local debe aparecer primero en la lista para que la resolución de DNS para el dominio local funcione.

10.0.2.53
8.8.8.8
4.2.2.1

Screen shot of the Interface DNS server settings

DNSWatch tiene servidores regionales en los Estados Unidos (este de EE. UU.), la UE (Irlanda) y la región APAC (Japón y Australia). Si es importante que sus usuarios se conecten a servidores en otras regiones para un dominio, puede agregar una regla de reenvío de DNS condicional. En la regla, especifique el nombre de dominio y un servidor DNS público de su elección.

Por ejemplo, puede configurar una regla de reenvío de DNS que reenvíe las solicitudes de los usuarios para ejemplo.com a 8.8.8.8, en lugar de DNSWatch.

Screen shot of the DNS Forwarding settings

DNSWatch incluye una lista de excepciones que evita que las solicitudes de DNS para los dominios de servicio de WatchGuard se envíen a DNSWatch. Cuando la imposición está deshabilitada, esta lista de excepciones no se utiliza. Si deshabilita la imposición de DNSWatch, recomendamos que configure reglas de reenvío de DNS condicionales para los dominios de servicio de WatchGuard watchguard.com, ctmail.com y rp.cloud.threatseeker.com si utiliza estos servicios. Las reglas que configura se aseguran de que estos servicios se conecten al servidor regional más cercano.

Screen shot of the DNS Forwarding settings

Configuración de DNSWatch

Deshabilitar la imposición de DNSWatch. Cuando se deshabilita la imposición de DNSWatch, las solicitudes de DNS de los hosts de su red no se envían a DNSWatch, a menos que el host se configure manualmente para usar los servidores DNS de DNSWatch. Sin embargo, el Firebox utiliza DNSWatch para sus propias solicitudes de DNS.

Screen shot of the DNSWatch configuration settings on the Firebox

Solicitudes de DNS para Recursos Internos

Si un host en su red envía una solicitud de DNS para un recurso interno en su red, el servidor DNS local resuelve la solicitud.

Si el propio Firebox genera una solicitud de un recurso local, el resolvedor del Firebox reenvía la solicitud al servidor DNS local.

Solicitudes de DNS para Recursos Externos

Si el Firebox está configurado como un servidor DHCP, y el reenvío de DNS está habilitado

Si un host en su red envía una solicitud de DNS para un recurso externo, la solicitud se reenvía a la dirección IP del Firebox. El Firebox resuelve la solicitud a partir de la información almacenada en la memoria caché, reenvía la solicitud a un servidor DNS especificado en una regla de reenvío de DNS condicional, o bien reenvía la solicitud a DNSWatch.

Si tiene un servidor DHCP local y configuró un reenviador en su servidor DNS local para la dirección IP de Firebox

Si un host en su red envía una solicitud de DNS para un recurso externo, el servidor DNS local redirige la solicitud al Firebox. El Firebox resuelve la solicitud a partir de la información almacenada en la memoria caché, o bien reenvía la solicitud a DNSWatch.

Si también tiene habilitado el reenvío de DNS en el Firebox, y la solicitud de DNS coincide con una regla de reenvío de DNS en el Firebox, este reenvía la solicitud al servidor DNS especificado en la regla.

Si tiene un servidor DHCP local y configuró reenviadores en su servidor DNS local para las direcciones IP de DNSWatch

Si un host en su red envía una solicitud de DNS para un recurso externo, el servidor DNS local redirige la solicitud a DNSWatch.

Vea También

Acerca de DNSWatch de WatchGuard

Acerca de DNS en el Firebox

Prioridad de los Ajustes DNS de DNSWatch en un Firebox

Monitorizar el Estado del Servicio DNSWatch

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.