NetUtil
nslookup en Mac: comandos de DNS lookup y cuándo usar cada uno
Cómo usar nslookup, dig y host en Mac para consultas DNS. Ejemplos reales para verificar propagación, registros MX y depurar problemas de IP incorrecta.
Necesitas verificar un registro DNS. Quizás cambiaste de proveedor de hosting y quieres confirmar que tu dominio apunta al nuevo servidor. Quizás tu correo está rebotando y sospechas un problema con los registros MX. O un sitio está cargando contenido incorrecto y quieres saber si es un problema de DNS o algo más.
macOS incluye tres comandos de Terminal para hacer DNS lookups: nslookup, dig y host. Los tres consultan DNS, pero cada uno presenta los resultados de manera diferente y sirve para situaciones distintas.
Qué hace realmente un DNS lookup
Cuando escribes un nombre de dominio en tu navegador, tu Mac le pregunta a un resolvedor DNS (normalmente el de tu proveedor de internet o uno público como 1.1.1.1) que traduzca ese nombre en una dirección IP. El resolvedor busca la respuesta y tu computadora se conecta a esa IP.
Un DNS lookup te permite ejecutar esa traducción tú mismo e inspeccionar el resultado. Puedes ver a qué IP resuelve un dominio, qué servidores de correo manejan su email, y qué servidores de nombres son autoritativos para él. Esto cubre la mayoría de la depuración del día a día.
Tipos de registros que vale la pena conocer:
- A: Dirección IPv4 (el principal que consultarás)
- AAAA: Dirección IPv6
- MX: Servidor de correo, con prioridad
- CNAME: Alias que apunta a otro dominio
- TXT: Registros de texto, usados para SPF, DKIM, verificación de dominio
- NS: Servidores de nombres autoritativos para el dominio
nslookup en Mac: el punto de partida familiar
nslookup es el comando al que la mayoría llega primero. Existe en todos los sistemas operativos, así que si ya hiciste DNS lookups en otro sistema, la sintaxis te resultará familiar.
Consulta básica de registro A
nslookup google.com
El resultado muestra el servidor DNS que respondió y la dirección IP. La línea “Non-authoritative answer” solo indica que el resultado vino de un caché, no de los propios servidores de nombres del dominio. Eso es normal.
Consultar un tipo de registro específico
nslookup -type=MX google.com
Reemplaza MX con cualquier tipo de registro: A, AAAA, CNAME, TXT, NS, SOA. Por ejemplo, para revisar SPF y DKIM al depurar problemas de email:
nslookup -type=TXT google.com
Consultar un servidor DNS específico
Aquí es donde nslookup se vuelve genuinamente útil. En lugar de preguntar a tu resolvedor predeterminado (que puede tener datos viejos en caché), puedes consultar un servidor directamente:
nslookup google.com 8.8.8.8
nslookup google.com 1.1.1.1
Consultar varios servidores te permite ver si los cambios de DNS ya se propagaron. Si 8.8.8.8 muestra tu nueva IP pero 1.1.1.1 todavía muestra la antigua, la propagación todavía está en proceso.
Modo interactivo de nslookup
Escribe nslookup sin argumentos y obtienes un prompt. Desde ahí puedes ejecutar múltiples consultas sin reescribir el comando:
> set type=MX
> google.com
> set type=A
> example.com
> exit
El principal problema de nslookup es que su salida mezcla mensajes informativos con los resultados reales. El formato es inconsistente entre tipos de registros, lo que hace más difícil leerlo de un vistazo.
dig: la herramienta avanzada para DNS en Mac
dig (Domain Information Groper) es la herramienta preferida por administradores de sistemas y desarrolladores que depuran DNS con frecuencia. La salida es estructurada y consistente, y las opciones de control van mucho más lejos que las de nslookup.
Consulta básica
dig google.com
La salida es detallada por defecto: la pregunta que hiciste, la sección de respuesta, tiempos y el servidor que respondió. Esa información extra es útil para depurar, porque puedes ver exactamente qué se devolvió y cuánto tardó.
Obtener solo la respuesta con +short
Cuando quieres una respuesta rápida sin el detalle adicional:
dig google.com +short
Esto muestra únicamente la dirección IP. Ideal para scripts o cuando solo quieres saber el resultado:
dig google.com MX +short
Devuelve los registros MX con sus prioridades, uno por línea.
Consultar tipos de registros específicos
dig google.com MX
dig google.com TXT
dig google.com NS
dig google.com AAAA
Consultar un servidor DNS específico
dig @8.8.8.8 tudominio.com
dig @1.1.1.1 tudominio.com
dig @9.9.9.9 tudominio.com
La sintaxis con @ especifica el resolvedor. Esta es la forma más limpia de verificar la propagación DNS en varios resolvedores públicos.
Rastrear la cadena completa de resolución
dig google.com +trace
Esto recorre toda la cadena de resolución DNS: servidores raíz, servidores TLD, y luego los servidores de nombres autoritativos del dominio. Si DNS está roto en algún punto de la cadena, +trace te muestra exactamente dónde falla.
Verificar validación DNSSEC
dig google.com +dnssec
Agrega los registros de firma DNSSEC a la salida. Útil para verificar que la configuración DNSSEC de un dominio es correcta después de habilitarla.
host: la opción de lectura rápida
host da una salida limpia y legible para humanos con configuración mínima. Es la elección correcta cuando quieres una respuesta rápida sin necesitar el detalle completo que ofrece dig.
host google.com
Esto devuelve registros A, AAAA y MX de una sola vez:
google.com has address 142.250.80.46
google.com has IPv6 address 2607:f8b0:4004:c1b::65
google.com mail is handled by 10 smtp.google.com.
Para un tipo de registro específico:
host -t MX google.com
host -t TXT google.com
host no tiene las opciones avanzadas de dig, pero su salida es inmediatamente legible sin ningún flag adicional.
Qué herramienta usar en cada caso
| Comando | Ideal para | Estilo de salida |
|---|---|---|
nslookup |
Familiaridad multiplataforma, verificaciones rápidas | Verboso, mensajes mezclados |
dig |
Verificar propagación, scripts, traza completa | Estructurado, +short para salida limpia |
host |
Respuesta rápida y legible, sin flags | Conciso, texto plano |
dig +short |
Scripts, verificaciones por lotes, salida mínima | Solo respuesta básica |
dig +trace |
Encontrar dónde falla la resolución DNS | Cadena completa desde servidores raíz |
NetUtil GUI |
Sin Terminal, navegación visual de registros | Apuntar y hacer clic, resultados formateados |
Referencia rápida: qué herramienta DNS usar según lo que necesites.
Casos de uso reales
Verificar propagación DNS después de cambiar hosting
Moviste tu sitio a un nuevo servidor y actualizaste el registro A. Ahora quieres saber si el cambio se propagó antes de cancelar el hosting anterior.
dig @8.8.8.8 tudominio.com +short
dig @1.1.1.1 tudominio.com +short
dig @9.9.9.9 tudominio.com +short
Si los tres devuelven la misma IP, la propagación está lista para la mayoría de los usuarios. Si difieren, algunos resolvedores todavía tienen datos viejos en caché.
Para ver cuánto tiempo durará ese caché, verifica el TTL:
dig @1.1.1.1 tudominio.com
En la sección de respuesta, el número entre el nombre del registro y el tipo de registro es el TTL en segundos. Un TTL de 300 significa que el caché se limpia en 5 minutos. Un TTL de 86400 significa que podrías esperar hasta 24 horas.
Depurar entregabilidad de email con registros MX
El correo no llega. Antes de revisar los logs de SMTP, confirma que los registros MX son correctos:
nslookup -type=MX tudominio.com
O con dig para una salida más limpia:
dig tudominio.com MX +short
La salida muestra los nombres de tus servidores de correo y sus prioridades. Un número más bajo significa mayor prioridad. Si los nombres no coinciden con lo que tu proveedor de email te dijo que configuraras, ahí está el problema.
También revisa los registros TXT para SPF y DKIM mientras estás:
dig tudominio.com TXT +short
Tu registro SPF se verá como v=spf1 include:... ~all. Si no existe o está mal formado, por eso los mensajes van a spam.
Depurar por qué un sitio carga la IP incorrecta
Tu dominio resuelve a una IP de servidor antigua aunque actualizaste el registro A hace una hora.
Primero, verifica qué ve tu resolvedor local:
dig tudominio.com +short
Luego verifica qué ve un resolvedor externo:
dig @8.8.8.8 tudominio.com +short
Si difieren, tu resolvedor local tiene la respuesta antigua en caché. Puedes esperar a que el TTL expire o vaciar tu caché DNS local:
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Si ambos resolvedores muestran la misma IP incorrecta, el registro A no se guardó correctamente. Vuelve a tu proveedor de DNS y verifica el registro.
Verificar si un CNAME está configurado correctamente
dig tudominio.com CNAME +short
Esto devuelve el dominio de destino al que apunta el CNAME. Si no devuelve nada, no tienes un CNAME en ese nombre (quizás tienes un registro A en su lugar, lo cual puede ser intencional o una mala configuración).
Vaciar la caché DNS en macOS
Cuando necesitas limpiar la caché DNS de tu Mac después de cambiar registros o resolver un problema de resolución:
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Este comando funciona en macOS Monterey, Ventura, Sonoma y Sequoia. El proceso mDNSResponder maneja la resolución DNS local, y enviarle HUP lo fuerza a recargarse.
Después de vaciar el caché, ejecuta tu comando dig o nslookup nuevamente y deberías ver el resultado actualizado.
Si Terminal no es lo tuyo
Apple eliminó la Utilidad de Red en macOS Monterey. Eso eliminó la única interfaz gráfica integrada para DNS lookups.
NetUtil es un reemplazo gratuito. Ábrelo, escribe un dominio en la pestaña de DNS Lookup, selecciona un tipo de registro y obtén los resultados formateados igual que lo hacía la antigua Utilidad de Red. Sin comandos que memorizar, sin flags que buscar. Los resultados son los mismos datos que obtendrías con dig o nslookup, solo presentados sin el ruido.
Para verificaciones DNS ocasionales, una interfaz gráfica elimina la fricción. Para consultas repetidas o cualquier cosa que quieras poner en un script, quédate con dig.
Elige la herramienta adecuada para cada tarea
nslookup sirve bien para verificaciones rápidas, especialmente si ya lo conoces. dig es mejor para cualquier cosa que involucre verificar propagación, scripting, o investigar el comportamiento de DNS. host es el camino más rápido a una respuesta legible cuando solo necesitas saber a qué IP resuelve algo.
Los tres consultan el mismo sistema DNS. Las diferencias están en la presentación y el control. Usa el que te dé la información que necesitas sin hacerte perder tiempo.