pfsense配置dns转发器

1,System->General Setup中配置系统DNS。如不配置系统DNS,后面转发无效。
011321_1457_pfsensedns1.png
2,Services->DNS Forwarder中打开并配置转发。
011321_1457_pfsensedns2.png
勾选Enable DNS Forwarder/Query DNS server sequentially/Require domain选项,如果解析的域名中有指向私网ip,则取消Do not forward private reverse lookups选项。

名称 含义
Query DNS server sequentially 按顺序请求dns服务器
Require domain 请求域名
Do not forward private reverse lookups 不转发RFC1918定义的私有ip解析
Listen Port 监听端口,默认顺序是使用udp和tcp53端口
Interfaces 允许客户端请求dns解析的接口

011321_1457_pfsensedns3.png
3,如果要请求的某个域名有解析记录指向私有ip,需取消勾选Do not forward private reverse lookups选项,并在Custom options加入下列配置,如果有多个域名,则重复多行。

1
rebind-domain-ok=/danteng.org/

参考场景:pfsense作为出口网关,有域名指向内网ip。
011321_1457_pfsensedns4.png
如不配置,会出现下列错误,且客户端解析不到结果

1
possible DNS-rebind attack detected: s1.danteng.org

011321_1457_pfsensedns5.png
4,点击Save保存,并Apply Change使之生效。
011321_1457_pfsensedns6.png

%