pfSense配置基于TLS协议的DNS(DoT)

现在已经有越来越多的DNS提供商提供基于TLS协议的DNS,这提升了DNS查询的安全性和隐私性。

从pfSense2.3版本开始提供的Unbound,默认启用了内置DNS解析器,现在配置基于TLS协议的DNS已经非常简单。

下面以pfSense2.52为例,介绍配置过程。

注意:本示例仅适用于DNS解析器。

配置系统DNS

转到系统>常规设置,在DNS服务器设置栏填写一个或多个DNS,如果有多个网关,确保每个网关至少有一个DNS,这里的DNS必须支持TLS。注意不要选中“ DNS服务器覆盖”选项,以避免修改为ISP提供的DNS。

配置Unbound

导航到服务> DNS解析器。选中启用DNS解析器。选择全部网络接口,选中启用转发模式和使用SSL/TLS选项。无论有无DoT,DNSSEC都与转发模式不兼容,所以这里不要选。

测试设置

客户端将DNS指定为防火墙的默认网关,打开网页,正常浏览。然后转到诊断>状态,使用853端口过滤,就可以查看DNS查询的情况。

如果要重定向客户端DNS查询,可以参考在pfSense上重定向客户端DNS查询

发表评论

您的电子邮箱地址不会被公开。