1,System->General Setup中配置系统DNS。如不配置系统DNS,后面转发无效。
2,Services->DNS Forwarder中打开并配置转发。
勾选Enable DNS Forwarder/Query DNS server sequentially/Require domain选项,如果解析的域名中有指向私网ip,则取消Do not forward private reverse lookups选项。
| 名称 | 含义 |
|---|---|
| Query DNS server sequentially | 按顺序请求dns服务器 |
| Require domain | 请求域名 |
| Do not forward private reverse lookups | 不转发RFC1918定义的私有ip解析 |
| Listen Port | 监听端口,默认顺序是使用udp和tcp53端口 |
| Interfaces | 允许客户端请求dns解析的接口 |
3,如果要请求的某个域名有解析记录指向私有ip,需取消勾选Do not forward private reverse lookups选项,并在Custom options加入下列配置,如果有多个域名,则重复多行。
1 | rebind-domain-ok=/danteng.org/ |
参考场景:pfsense作为出口网关,有域名指向内网ip。
如不配置,会出现下列错误,且客户端解析不到结果
1 | possible DNS-rebind attack detected: s1.danteng.org |
4,点击Save保存,并Apply Change使之生效。