pfSense DNS转发器

pfSense 中的 DNS 转发器是一个使用 dnsmasq 守护进程的缓存 DNS 解析器。它在当前版本中被默认禁用，默认情况下，DNS 解析器（unbound）处于活动状态。DNS 转发器将在之前处于活动状态的旧系统或升级系统上保持启用状态。

DNS 转发器使用在 系统 > 常规设置 中配置的 DNS 服务器，或使用从 ISP 自动获取的用于动态配置的 WAN 接口（DHCP，PPPoE，PPTP）的 DNS 服务器。对于静态 IP 地址广域网连接，必须在 系统 > 常规设置 或设置向导期间输入 DNS 服务器以使 DNS 转发器正常工作。静态配置的 DNS 服务器也可用于动态配置的广域网接口，方法是取消选中“允许 DNS 服务器列表，以便在系统 > 常规设置页面上由 WAN 上的 DHCP/PPP 覆盖”选项。

默认情况下，DNS 转发器将立即查询所有 DNS 服务器，并且只使用收到的第一个响应并进行缓存。从客户端的角度看，这会使 DNS 服务更加快速，并且可以帮助缓解源自间歇性较慢或具有高延迟的 DNS 服务器的问题，特别是在多 WAN 环境中。通过启用“按顺序查询 DNS 服务器”选项可以禁用此行为。

DNS 转发和 IPv6

DNS 转发器与 IPv6 完全兼容。它接受和查询 IPv6，支持 AAAA 记录，在处理 DNS 的任何方面与 IPv6 均无已知问题。

DNS 转发配置

配置 DNS 转发，请导航到 系统服务 > DNS 转发。

常用选项如下：

启用
选中此框将打开 DNS 转发器，或取消选中以禁用此功能。DNS 转发器和 DNS 解析器不能同时在同一个端口上处于活动状态，因此在尝试启用 DNS 转发器之前，请禁用 DNS 解析器或将其中一个服务移动到其他端口。

DHCP 注册
处于活动状态时，可以使用 DNS 解析 DHCP 客户端的内部机器名称。这只适用于在 DHCP 请求中指定主机名的客户端。系统 > 常规设置中的域名将用作主机上的域名。

静态 DHCP
这与 DNS 转发器中的“注册 DHCP 租约”作用相同，只不过它注册的是 DHCP 静态映射地址。

首选 DHCP
当一个 IP 地址有多个主机名时，如果其中一个主机名在主机覆盖中，并且系统通过 DHCP 使用另一个主机名，则执行反向查找可能会产生意外的结果。选中此选项将使 DHCP 获取的主机名优先于防火墙主机文件中的静态映射，首先查询它们。这只影响反向查找（PTR），因为它们只返回第一个结果而不是多个。例如，这将产生 labserver01.example.com（测试服务器的 DHCP 获得的 IP 地址）的结果，而不是 testwww.example.com 的主机覆盖名称，否则将返回后者。

按顺序查询 DNS 服务器
默认情况下，防火墙同时查询所有 DNS 服务器并使用最快的结果。这并不总是可取的，特别是如果有一个本地 DNS 服务器提供自定义主机名，而使用更快的公共 DNS 服务器可能会绕过它。选中此选项后，将按顺序从上到下对每个 DNS 服务器进行查询，并且在转到列表中的下一个 DNS 服务器之前，防火墙会等待超时。

需要域名
需要将主机名上的域名转发给上游 DNS 服务器。仍然会根据主机覆盖和 DHCP 结果检查没有域名的短主机名，但不会针对防火墙上配置的名称服务器查询它们。相反，如果一个简短的主机名在本地不存在，则 NXDOMAIN（“未找到”）结果将返回给客户端。

不要转发专用的反向查找
选中时，此选项可防止 dnsmasq 为 RFC1918 私有 IP 地址向上游名称服务器进行反向 DNS（PTR 记录）查找。它仍然会返回来自本地条目的结果。可以使用域覆盖条目来覆盖反向查找区域，例如 1.168.192.in-addr.arpa，以便对特定子网的查询仍将被发送到特定的 DNS 服务器。

侦听端口
默认情况下，DNS 转发器侦听 TCP 和 UDP 端口 53。这对于任何 DNS 服务器都是正常的，因为它是客户端将尝试使用的端口。在某些情况下，将 DNS 转发器移到另一个侦听端口（例如 5353 或 54）是可取的，然后通过端口转发可以将特定的查询转发到那里。

接口
默认情况下，DNS 转发器侦听每个可用的接口和所有可用的 IPv4 和 IPv6 地址。接口控件可限制 DNS 转发器接受和回答查询的接口。除防火墙规则外，还可以用来增加安全性。如果选择了特定的接口，则该接口上的 IPv4 和 IPv6 地址将用于回答查询。发送到防火墙上其他 IP 地址的查询将被静默丢弃。

严格的接口绑定
设置后，DNS 转发器将只绑定到接口控件中选择的拥有关联 IP 地址的接口，而不是绑定到所有接口并丢弃对其他地址的查询。这可以类似于侦听端口使用，以控制服务绑定的方式，便于与其他具有类似选项的 DNS 服务共存。

注意
在当前版本的 DNS 转发器守护进程 dnsmasq 中，此选项与 IPv6 不兼容。如果选中此项，则 dnsmasq 进程将不会绑定到任何 IPv6 地址。

高级选项

在 GUI 中不可配置的自定义 dnsmasq 配置参数可以放置在高级选项中。例如，要为 DNS 记录设置较低的 TTL，可输入 max-ttl=30。或者制作通配符 DNS 记录，通过指定 address=/lab.example.com/192.2.5.6 将 .lab.example.com 解析为 192.2.5.6。
用空格或换行符分隔命令。有关可能使用的参数的更多信息，请参阅 dnsmasq 文档。

主机覆盖

主机覆盖条目提供了配置自定义 DNS 条目的方法。该配置与 DNS 解析器中的主机覆盖相同。

域覆盖

域覆盖配置备用 DNS 服务器用于解析特定的域。该配置与 DNS 解析器中的域覆盖类似，只是略有不同：

域
域字段设置将使用此条目解析的域名。这不一定是一个有效的 TLD，它可以是任何东西（例如 local、test、lab），或者它可以是一个真正的域名（例如 example.com）。

IP 地址
该字段可以以三种方式之一使用。首先，它可以用来指定发送域中主机名查询的 DNS 服务器的 IP 地址。其次，可以通过输入 # 来覆盖另一个条目。例如，要将 example.com 转发到 192.2.66.2，但将 lab.example.com 转发到标准名称服务器，请在此字段中输入 #。第三，通过输入 ! 可以防止非本地查找。如果存在 www.example.org 和 mail.example.org 的主机覆盖条目，但不能将 example.org 下其他主机的查找转发到远程 DNS 服务器，请在此字段中输入 !。

源 IP
该字段是可选的，主要用于通过VPN 联系 DNS 服务器。通常只有特定的本地 IP 地址能够穿越VPN，此字段指定防火墙上的哪个 IP 地址被用来发送 DNS 请求，以便查询能够正确传递。

描述
用于识别或提供有关此条目的更多信息的文本说明。

DNS 转发和多 WAN

DNS 转发器完全兼容多 WAN。在 系统 > 常规设置 下，确保在每个 WAN 网关上至少配置一个 DNS 服务器。

DNS 转发和 DNS 重绑定保护

默认情况下，DNS 重新绑定保护已启用，并拒绝私有 IP 地址响应。要允许来自已知域的私有 IP 地址响应，请使用 DNS 转发设置中的“高级选项”框来配置允许的域，如下所示：
rebind-domain-ok=/example.com/