在pfSense上重定向客户端DNS查询

有时我们为了某些特定的要求,如过滤广告、加快DNS查询时,可以将客户端DNS仅限制为使用pfSense DNS解析器或转发器,并通过使用端口转发来截获客户端发送到其他服务器的所有DNS请求。要设置DNS重定向,请按以下步骤进行操作。

配置DNS服务器

导航到”系统>常规设置”菜单,在DNS服务器设置选项,为每个WAN接口至少填写一个DNS服务地址。推荐使用速度较快的公共DNS,如果你配置了Pi-hole,也可以在这里填入Pi-hole的服务器地址。PPPOE拨号用户,DNS服务器覆盖选项不要勾选,其他选项默认即可。

提示:可以在”状态>DNS解析”菜单查看DNS服务器的状态。

启用DNS解析

导航到”服务>DNS解析”菜单,选中启用DNS解析器和启用转发模式两个选项,注意网络接口选中全部,其他选项默认。

创建端口转发条目

导航到”防火墙>地址转换”菜单,新建端口转发条目,填写以下字段:

  • 接口:LAN(我的示例是多LAN,这里选LAN1)
  • 协议:TCP / UDP
  • 目标选中“反转匹配” ,LAN1地址(反转匹配表示除LAN1地址以外的所有其他地址)
  • 目标端口范围:DNS
  • 重定向目标IP127.0.0.1
  • 重定向目标端口:DNS
  • 描述:重定向DNS
  • NAT回流:禁用

保存并应用更改后,防火墙的LAN1接口将自动添加对应的防火墙规则,将该防火墙规则移动到列表顶部保存并应用更改,如下图所示。

设置完成后,来自客户端的对任何外部IP地址的DNS查询请求将自动转发到防火墙的本地DNS进行,再无法访问其他外部DNS服务器。

提示:在转发条目中将目标从“ LAN地址”更改为包含允许的DNS服务器的别名,就可以将它修改为仅允许访问特定的一组DNS服务器。

测试设置

如果客户端的DNS不是使用防火墙的接口LAN地址,DNS查询被防火墙截获并重定向后,规则对应的LAN选项卡下的重定向条目状态信息发会生相应的变化,见下图箭头所指出的地方。

如果在常规设置处设置了多个DNS服务器, 使用该方法,可以在一定程度上提升DNS的查询速度。

发表回复

您的电子邮箱地址不会被公开。