DNS

O Ravi Monitor transforma o servidor do provedor em um servidor DNS completo, gerenciado pela interface web: recursivo para os assinantes (Unbound) e autoritativo para os domínios e o reverso do provedor (NSD), com DNSSEC, listas de bloqueio, estatísticas e diagnóstico.

Visão geral

O ambiente DNS permite operar dois serviços distintos sem editar arquivo de configuração na mão. Tudo é configurado na interface: o sistema gera os arquivos de zona e de configuração e reinicia os serviços sozinho.

ServiçoMotorPara que serve
DNS Recursivo Unbound Resolve qualquer domínio da internet para os assinantes do provedor, com cache, validação DNSSEC, listas de bloqueio de conteúdo (incluindo a lista obrigatória da Anatel) e estatísticas em tempo real.
DNS Autoritativo NSD Hospeda os domínios do próprio provedor (site, e-mail) e, principalmente, o DNS reverso (PTR) dos blocos IP, requisito prático para entrega de e-mail e boa prática de ASN.

O acesso é pelo item DNS do menu principal. A tela tem três abas:

  • DNS Recursivo: dashboard de métricas do Unbound (ver Estatísticas do recursivo).
  • DNS Autoritativo: gestão de domínios e estatísticas por domínio (ver Domínios e zonas).
  • Fluxo DNS: inspeção ao vivo do tráfego DNS que passa pelo servidor (ver o final da seção de estatísticas).

Modos de estrutura

Na engrenagem Configurações (canto direito da tela), a modal Configurações DNS traz o seletor de estrutura no topo:

OpçãoComportamento
Unbound para DNS recursivo e autoritativo Modo legado: o Unbound responde tudo. Não há estatísticas por domínio nem registro DS de DNSSEC.
Unbound para recursivo e NSD para autoritativo Modo recomendado. Ao selecionar, o sistema pede para vincular IPs ao NSD. Só neste modo existem estatísticas por domínio e DNSSEC completo.
Replicar as configurações de um servidor DNS mestre Opção desabilitada, reservada para uso futuro.

IPs dedicados por serviço

Cada serviço é vinculado a IPs do servidor na tabela IPs Vinculados ao Unbound e IPs Vinculados ao NSD da modal de configurações. A lista mostra os IPs de escopo global detectados na máquina, com Tipo de IP (IPV4/IPV6) e Endereço IP. Marcar ou desmarcar salva na hora.

  • Um mesmo IP não pode servir Unbound e NSD ao mesmo tempo: um IP marcado em um serviço some da lista do outro.
  • Para rodar recursivo e autoritativo juntos são necessários pelo menos 2 IPs na máquina, um dedicado a cada serviço. Sem isso, a interface avisa que é preciso ao menos 2 IPs para separar os serviços.
  • Desmarcar todos os IPs de um serviço desliga o switch daquele serviço (a interface pede ao menos 1 IP vinculado).

Pré-requisitos

  • Plano: a área DNS abre para qualquer plano registrado. A gestão de domínios autoritativos (tela de gerenciamento do domínio) exige plano BASIC ou superior. Plano BASIC+
  • Permissões: a permissão de grupo de acesso para DNS tem três níveis: 0 (sem acesso), 1 (visualiza) e 2 (visualiza e altera as Configurações DNS). Usuários Master têm acesso total. Para quem não tem nível 2, a engrenagem aparece bloqueada.
  • Servidor: Unbound e NSD são instalados pelo instalador do Ravi Monitor; a porta 53 UDP/TCP precisa estar livre nos IPs escolhidos.

Configurações do recursivo (modal Configurações DNS)

O quadro DNS Recursivo da modal concentra o comportamento do Unbound. Os switches salvam imediatamente, mas o efeito só vale após clicar em Aplicar e reiniciar Unbound. Também há o botão Limpar cache.

SwitchO que faz
Ativar DNS RecursivoLiga ou desliga o serviço recursivo.
Ativar Prefetch (Recomendado)O Unbound renova entradas populares do cache antes de expirarem.
Ativar DNSSEC (Recomendado)Validação DNSSEC nas respostas recursivas.
Habilitar Bloqueio Adware + Malware (Recomendado)Bloqueia lista de sites maliciosos.
Habilitar Bloqueio de Phishing (Recomendado)Bloqueia sites de roubo de dados.
Habilitar Bloqueios AnatelLista oficial de bloqueios judiciais e da Anatel (pirataria e afins). Obrigatório no Brasil.
Habilitar Bloqueio de anúnciosBloqueia domínios de publicidade.
Habilitar Bloqueio de conteúdo pornográficoBloqueio de conteúdo adulto.
Habilitar Bloqueio de redes sociaisBloqueio de redes sociais.
Habilitar Bloqueio de Jogos/GamblingBloqueio de apostas e cassinos.
Habilitar Bloqueio de CryptominingBloqueio de mineração de criptomoedas.
Habilitar Bloqueio de Tracking/AnalyticsBloqueio de rastreadores.
Habilitar Bloqueio de Fake NewsBloqueio de sites de desinformação.
Utilizar root-serverFaz as consultas diretamente nos servidores raiz. Quando ligado, a lista de encaminhamentos é ignorada.

As listas de bloqueio habilitadas (incluindo a da Anatel) são sincronizadas automaticamente com a central Ravi a cada 30 minutos, e o serviço é reiniciado sozinho quando há lista nova. Nenhuma ação do operador é necessária para manter as listas em dia.

Encaminhamentos, firewall e redirecionamentos

  • Encaminhamentos de requisição: lista de forwarders para onde o recursivo envia as consultas. Use Adicionar para incluir um IP e Restaurar default para voltar aos padrões 8.8.8.8, 1.1.1.1, 2001:4860:4860::8888 e 2606:4700:4700::1111. A edição é inline, com salvamento ao sair do campo.
  • Firewall: controle de acesso do recursivo por entradas Liberar ou Bloquear com IP / Bloco IP. O Restaurar default libera apenas as faixas privadas. É aqui que o provedor libera os blocos dos próprios clientes para usar o recursivo, evitando operar um open resolver.
  • Redirecionamentos: força um Domínio a responder com um IP definido em Redirecionar para. Uso típico: portal de aviso de bloqueio ou split-DNS interno. O botão Deletar todos zera a lista.

Diagnóstico de latência Novo na 7.2

A modal de configurações mede a latência real do servidor até os root-servers, o Cloudflare e o Google (com cache de 30 minutos) e, quando a configuração atual não é a de melhor desempenho, exibe uma Recomendação (por exemplo, migrar os encaminhamentos para o Cloudflare). O botão Aceitar recomendação aplica a mudança na configuração; o reinício do serviço continua manual, pelo botão Aplicar e reiniciar Unbound.


Domínios e zonas

Cada domínio cadastrado na aba DNS Autoritativo vira uma zona hospedada no servidor. A aba mostra os selos de status NSD Ativo / NSD Inativo, o status do Unbound e o botão Adicionar domínio.

Adicionar um domínio

  1. Abra o menu DNS e vá para a aba DNS Autoritativo.
  2. Clique em Adicionar domínio e informe o domínio. O sistema valida campo vazio, formato e duplicidade.
  3. Clique em Salvar.

Ao salvar, o sistema cria automaticamente os registros iniciais da zona: NS na raiz apontando para ns1 e ns2 do próprio domínio, registros A de ns1 e ns2 apontando aos IPs vinculados ao NSD (usa 2 IPs se houver), além de A da raiz e de www.

Cards de domínio

Cada domínio aparece em um card com os contadores Consultas Hoje, IPs Únicos e Última Hora, e três ações:

  • Visualizar: abre o site do domínio.
  • Gerenciar: abre a tela de gerenciamento da zona (ver Registros).
  • Excluir: remove o domínio, com confirmação.

Estatísticas de acesso por domínio

O painel Estatísticas de Acesso mostra, por domínio, os períodos Hoje, 7 Dias e 30 Dias, os gráficos Tendência de Consultas (Hoje) e Tipos de Consulta, e as informações Última Consulta, Tamanho do Histórico e Dias de Histórico.

Em Análise Avançada, o botão Ver Detalhes abre a modal Estatísticas Detalhadas, com navegação por data, Total de Consultas, IPs Únicos, Hora de Pico, o gráfico Consultas por Hora, Top Domínios e a tabela detalhada com Data/Hora, Endereço IP, Tipo e Domínio Consultado.

As estatísticas por domínio só existem no modo com NSD. No modo legado (Unbound para tudo), a interface avisa que é necessário migrar o DNS Autoritativo para o serviço NSD. Em domínio recém-cadastrado, as estatísticas começam zeradas: só contam consultas a partir do cadastro.


Registros

O botão Gerenciar do card do domínio abre a tela Gerenciamento DNS do domínio, onde ficam todos os registros da zona. No topo há os botões Voltar, Análise Técnica e a engrenagem de configurações (para quem tem permissão nível 2). Plano BASIC+

Alertas automáticos da zona

A tela verifica a zona continuamente (a cada 5 segundos) e avisa quando:

  • falta um registro A/AAAA/CNAME para www;
  • falta um registro MX no domínio raiz;
  • o servidor está sem internet ou sem resolução de nomes;
  • o serviço DNS não está operacional (com link para o suporte técnico via WhatsApp).

Quando está tudo certo, a tela confirma que as configurações do DNS foram validadas.

Editar um registro não aplica a mudança na hora: a alteração fica salva como pendente e acende o botão Aplicar alterações salvas. É esse botão que regenera as zonas e reinicia os serviços. Enquanto ele não for clicado, o mundo continua vendo a zona antiga.

Adicionar novo registro

O formulário Adicionar novo registro mostra uma pré-visualização em linguagem natural do que o registro fará (por exemplo, "aponta para", "é um alias de", "lida com emails para").

CampoDetalhe
TipoA, AAAA, CNAME, MX, TXT, PTR ou NS.
NomeNome do registro dentro da zona. Use @ para a raiz do domínio.
Domínio alternativoSó para PTR: permite que o hostname reverso use outro domínio (ver Reverso (PTR)).
ValorO rótulo muda por tipo: Endereço IPv4/IPv6 (A/AAAA), Destino (CNAME), Servidor de email (MX), Conteúdo (TXT), endereço ou bloco IPv4 (PTR) e nameserver (NS).
TTLDe 1 minuto a 4 semanas. Padrão: 1 dia.
PrioridadeSó para MX. De 0 a 65535, obrigatório.
Comentário opcionalAnotação livre sobre o registro.

O formulário valida caracteres inválidos, IP inválido, CNAME apontando para IP (não permitido), destinos inválidos de CNAME/MX/NS, TXT acima de 65535 caracteres e PTR com IP ou máscara inválida.

TXT longos, como chaves DKIM, funcionam normalmente: valores acima de 255 caracteres são divididos automaticamente em blocos com aspas, conforme o padrão. Não é preciso quebrar a chave manualmente.

Tabela de registros e edição inline

A tabela lista os registros com as colunas de seleção, Tipo, Nome, Conteúdo e Opções (com o link Excluir, que pede confirmação). Há pesquisa por tipo, nome e conteúdo.

  • Edição inline: clique no campo, edite e saia do campo. O valor salva na hora (o campo pisca verde em caso de sucesso e vermelho em caso de erro) e o botão Aplicar alterações salvas acende.
  • Prioridade MX inline Novo na 7.2: registros MX ganham o campo Prio ao lado do valor. Dá para corrigir a prioridade sem excluir e recriar o registro.
  • Registros PTR mostram dois campos lado a lado: o nome e o Domínio alternativo.

Análise Técnica

O botão Análise Técnica roda uma bateria de cerca de 25 testes reais contra a zona, com barra de progresso, agrupados em:

  • Testes Iniciais: validação dos IPs DNS configurados e descoberta de nameservers.
  • Testes Globais: configuração DNSSEC, Delegação no registro.br, consistência entre nameservers e validação do arquivo de zona.
  • Testes Internos: resposta autoritativa, glue records, SOA, NS, porta 53 em TCP e UDP, recursão (não deve responder) e transferência AXFR (deve estar bloqueada).
  • Testes Externos: conectividade, portas, resposta autoritativa vista de fora, tempo de resposta, IPv6, DNSSEC externo, recursão e AXFR externos.

O quadro Resultado da Análise resume os Problemas Identificados. Use a análise para diagnosticar delegação errada no registrador antes de abrir um chamado.


Reverso (PTR)

O DNS reverso responde "qual é o nome deste IP" e é requisito prático para servidores de e-mail e boa prática para blocos anunciados no ASN. No Ravi Monitor, o PTR é apenas mais um tipo de registro na zona do domínio, e as zonas reversas in-addr.arpa e ip6.arpa são criadas automaticamente.

PTR simples e PTR de bloco

FormaValor informadoResultado
PTR simples Um IP único Cria o reverso exato daquele IP com o hostname informado. Ideal para exceções, como o servidor de e-mail.
PTR de bloco Um bloco CIDR inteiro Gera um PTR para cada IP do bloco no formato IP-com-traços.dominio. Ideal para popular o reverso de blocos de clientes em massa.

O campo Domínio alternativo permite que o hostname reverso use um domínio diferente da zona gerenciada, por exemplo, um PTR sob o domínio do cliente dentro da sua zona.

Novo na 7.2 O PTR de host único foi corrigido: ele é escrito diretamente na zona reversa correta e, quando um PTR simples existe dentro de um bloco CIDR também cadastrado, o PTR específico vence (o IP é excluído da geração em massa do bloco).

Blocos CIDR sobrepostos com hostnames diferentes (por exemplo, um /28 dentro de um /22) podem gerar dois PTRs para o mesmo IP. Para exceções dentro de blocos, prefira o PTR simples com o hostname exato.

Para o reverso funcionar na internet, o bloco IP precisa estar delegado para os seus nameservers junto ao registro (registro.br ou o RIR correspondente). A Análise Técnica ajuda a validar a delegação.


DNSSEC

O DNSSEC assina criptograficamente a zona, permitindo que resolvedores validem que a resposta não foi adulterada. No modo com NSD, o sistema gera as chaves e assina a zona automaticamente; a assinatura tem validade de aproximadamente 6 meses e é renovada nas regenerações da zona.

A linha DNSSEC da zona

Quando a zona já tem chaves, a tabela de registros exibe uma linha especial "DS @" no topo, com KeyTag, Algoritmo (8, RSA/SHA-256), Tipo Digest (2, SHA-256) e Digest. Esses são exatamente os valores que o provedor cadastra no registrador do domínio (registro.br) para ativar a cadeia de confiança.

A tela também mostra o selo Proteção DNSSEC Ativa e o botão Renovar Chaves, que limpa as chaves atuais, gera novas, reassina a zona e reinicia o serviço autoritativo.

Depois de clicar em Renovar Chaves, atualize imediatamente o registro DS no registrador. Enquanto o DS antigo continuar publicado, o domínio fica "bogus" para resolvedores que validam DNSSEC e para de resolver para boa parte da internet.

O registro DS e as estatísticas de assinatura só existem no modo Unbound para recursivo e NSD para autoritativo. No modo legado não há DNSSEC completo para as zonas hospedadas. A validação DNSSEC das consultas recursivas é independente: é o switch Ativar DNSSEC das Configurações DNS.


Estatísticas do recursivo

A aba DNS Recursivo é o dashboard de saúde do Unbound. Novo na 7.2 As estatísticas do recursivo (cache, DNSSEC, tipos de consulta, TCP/IPv6 e fila) ganharam histórico por minuto; antes, apenas o autoritativo tinha estatísticas.

No cabeçalho, o selo Unbound Ativo / Unbound Inativo indica o estado do serviço. Cada card traz um "?" com uma explicação da métrica.

Métricas Críticas

  • Consultas por Segundo: QPS atual do servidor. O indicador fica amarelo acima de 1000 QPS.
  • Tempo de resposta: média em milissegundos, com a mediana ao lado.
  • Cache Hit Ratio: percentual de consultas respondidas pelo cache. Verde acima de 80%.
  • Request List: fila de consultas pendentes do Unbound. Alerta quando o máximo chega a 10 ou mais.

Segurança e Performance

  • DNSSEC Validação: respostas validadas e inválidas.
  • Queries TCP/IPv6: volume de consultas por TCP e por IPv6.
  • Prefetch e Cache: ocupação do cache (RRsets e mensagens).
  • Queries Indesejadas: respostas não solicitadas recebidas, um indicador de tentativa de spoofing ou abuso.

Bloqueios ativos

A seção Bloqueios ativos mostra um card por categoria de bloqueio habilitada (Adware + Malware, Phishing, Anatel, Cryptomining, ADS, Pornografia, Redes Sociais, Jogos/Gambling, Tracking/Analytics e Fake News), com o número de domínios da lista atualmente carregada no serviço.

Análise Temporal e Métricas Detalhadas

  • Performance do Cache (Última Hora): consultas por segundo, cache hits e cache miss.
  • Tipos de Consulta: distribuição entre A, AAAA, PTR, CNAME e ANY.
  • DNSSEC (Última Hora): validados e inválidos ao longo do tempo.
  • Tempos de Resposta: médio e mediano.
  • Queries TCP e IPv6: evolução na última hora.

As métricas do recursivo são coletadas a cada minuto e o histórico exibido é sempre da última hora. Essas mesmas métricas alimentam o widget Painel DNS do ambiente Dashboards, para exibição em telas de NOC e TV.

Aba Fluxo DNS (inspeção ao vivo)

A aba Fluxo DNS é um sniffer em tempo real do tráfego DNS que passa pelo servidor. Uso típico: descobrir qual cliente ou CPE está inundando o recursivo, ou conferir se um IP consulta domínios estranhos.

CampoO que faz
InterfaceInterface de rede a capturar.
Origem / DestinoFiltro por IPs, separados por vírgula.
Timeout (segundos)Duração de cada ciclo de captura, de 1 a 60 (padrão 10).
DireçãoAmbos, Entrada (padrão) ou Saída.
ResultadosQuantidade de linhas exibidas, de 1 a 100 (padrão 30).

Clique em Iniciar Monitoramento para começar (o botão vira Parar Monitoramento). A tabela de Requisições é atualizada a cada ciclo, com a hora da última atualização.


Status dos serviços

Os selos Unbound Ativo/Unbound Inativo e NSD Ativo/NSD Inativo aparecem nos cabeçalhos das abas. O selo só fica verde quando as duas condições valem ao mesmo tempo: o serviço está habilitado na configuração e o processo está de fato ativo no sistema operacional. Novo na 7.2 O status do NSD passou a usar essa regra dupla, a mesma do Unbound.

Como as alterações são aplicadas

  1. Toda edição na interface (domínios, registros, switches, IPs vinculados) é salva como configuração pendente.
  2. Clique em Aplicar alterações salvas (na tela do domínio) ou em Aplicar e reiniciar Unbound / Aplicar e reiniciar NSD (na modal de configurações).
  3. O sistema regenera as zonas diretas e reversas, a configuração dos serviços e as chaves e assinaturas DNSSEC, e reinicia o serviço afetado. A tela mostra "Processando" e confirma quando as alterações foram aplicadas com sucesso.

Um monitor residente do Ravi acompanha os serviços continuamente: além de aplicar as alterações, ele vigia o Unbound e o NSD e tenta reerguê-los sozinho se caírem.

NSD e Unbound escutam em IPs diferentes. Se após aplicar uma alteração o dig ainda mostrar o valor antigo, verifique se a consulta foi feita ao IP do recursivo: nesse caso a resposta pode ter vindo do cache (TTL de até 1 hora). Teste no IP vinculado ao NSD ou use Limpar cache na modal de configurações.

Problemas comuns

SintomaCausa provável e ação
Editei um registro e nada mudou Falta clicar em Aplicar alterações salvas (ou em Aplicar e reiniciar na modal de configurações).
Selo "Inativo" com o switch ligado O serviço caiu no sistema operacional. O monitor residente tenta reerguê-lo; verifique se a porta 53 está ocupada por outro processo ou se há zona inválida.
"Estatísticas não disponíveis" nos domínios A estrutura ainda está no modo legado (Unbound para tudo). Migre para o modo com NSD na modal Configurações DNS.
Domínio resolve no servidor, mas não na internet Problema de delegação. Rode a Análise Técnica (teste Delegação no registro.br) e confira NS e glue records no registrador.
Domínio parou de resolver após Renovar Chaves O DS antigo continua no registrador. Atualize o DS com os valores da linha DNSSEC da zona.
Recursivo não responde para os clientes O bloco do cliente não está com entrada Liberar no Firewall da modal de configurações.
Aba do recursivo com gráficos vazios Unbound desligado ou coleta de métricas parada. Lembre que o histórico exibido é apenas da última hora.

Boas práticas

  • Mantenha Ativar Prefetch, Ativar DNSSEC, Habilitar Bloqueio Adware + Malware e Habilitar Bloqueio de Phishing ligados (são marcados como "Recomendado" na interface). Habilitar Bloqueios Anatel é obrigatório no Brasil.
  • Valide mudanças críticas com a Análise Técnica antes e depois de aplicar.
  • O TTL padrão é 1 dia; reduza para 5 a 15 minutos antes de migrações planejadas.
  • Não exponha o recursivo para a internet inteira: mantenha o Firewall apenas com os blocos do próprio provedor.