现在已经有越来越多的DNS提供商提供基于TLS协议的DNS，这提升了DNS查询的安全性和隐私性。

从pfSense2.3版本开始提供的Unbound，默认启用了内置DNS解析器，现在配置基于TLS协议的DNS已经非常简单。

下面以pfSense plus 22.05为例，介绍配置过程。

注意：本示例仅适用于DNS解析器。

配置系统DNS

转到系统>常规设置，在DNS服务器设置栏填写一个或多个DNS，这里的DNS必须支持TLS。注意不要选中“ DNS服务器覆盖”选项，以避免修改为ISP提供的DNS。DNS解析行为选中优先使用本地DNS，然后是远程DNS服务器(默认选项)。

配置Unbound

导航到服务> DNS解析器。选中启用DNS解析器。网络接口选择LAN和localhost，出站接口选择WAN。

选中DNSSEC选项、启用转发模式并使用SSL/TLS选项。

自定义选项输入以下内容：

server:
forward-zone:
name: "."
forward-ssl-upstream: yes
forward-addr: 1.1.1.1@853
forward-addr: 1.0.0.1@853
forward-addr: 223.5.5.5@853
forward-addr: 223.6.6.6@853

测试设置

客户端将DNS指定为防火墙的LAN接口地址，打开浏览器正常访问。然后转到诊断>状态，使用853端口过滤，可以看到DNS查询的情况。

导航到状态>DNS解析菜单，可以查看解析统计信息：

阻止客户端其他DNS查询

如果要重定向客户端DNS查询，可以添加以下两条规则。

1、在浮动规则选项卡上，添加一条除防火墙自外，禁止访问53端口的规则。

添加完成后如下图所示：

2、重定向53端口查询到127.0.0.1

添加一条端口转发规则，将所有对53端口的访问，转发到防火墙接口地址。

添加完成如下图所示：

对应在防火墙LAN接口上生成如下规则：

至此，DNS查询重定向设置完成。