pfSense中的DNS解析利用unbound，这是一个验证、递归、缓存DNS解析器，支持DNSSEC和各种选项。当前版本的pfSense默认启用DNS解析。

默认情况下，DNS解析程序不使用在“系统”>“常规设置”下配置的DNS服务器或从动态WAN自动获取的DNS服务器，而是直接查询根DNS服务器。 除非使用DNS查询转发选项，才可能会更改此行为。 通过默认直接联系根服务器，它可以消除使用本地DNS因配置不正确给用户造成的许多问题，并且使用域名系统安全扩展（DNSSEC），DNS结果更加可靠和可验证。

DNS解析器和IPv6

DNS解析器完全兼容IPv6。它接受和查询IPv6，支持AAAA记录，并没有任何与IPv6的任何方面和处理DNS的已知问题。

DNS 解析器配置

要配置DNS解析器，请导航到系统服务> DNS 解析

常规设置

启用: 选中此框将打开DNS解析器，或取消选中以禁用此功能。 DNS转发器和DNS解析器不能同时在同一个端口上处于活动状态，因此在尝试启用DNS解析器之前，请禁用DNS转发器或将一个服务或另一个服务移动到其他端口。

监听端口: 默认情况下，DNS解析程序侦听TCP和UDP端口53。这对于任何DNS服务器都是正常的，因为它是客户端将尝试使用的端口。 在某些情况下，将DNS解析器移动到另一个监听端口（例如5353或54）是可取的，然后通过端口转发可能会转发特定的源。

接口: 默认情况下，DNS解析器监听每个可用的接口以及IPv4和IPv6地址。 接口控制限制了DNS转发器接受和回答查询的接口。 除防火墙规则外，还可以用来增加安全性。 如果选择了特定的接口，则该接口上的IPv4和IPv6地址将用于回答查询。 unbound的守护进程将只绑定到选定的接口。 发送到防火墙上的其他IP地址的查询将被静静地丢弃。

出站网络接口: 默认情况下，DNS解析器利用所有接口进行出站查询，因此它将从任何接口获取查询，从路由角度来看，IP地址距离目标服务器最近。 选择特定的接口将限制选择仅限于可能被用作查询源的特定接口。

系统域本区域类型: 该选项确定为系统域配置的unbound本地区域的类型。 如果本地数据（例如主机覆盖，DHCP主机等）不匹配，则区域类型将管理为客户端提供的响应类型。在每种情况下，如果存在本地匹配，则查询将得到正常响应。 管理不匹配的响应的可用类型是：

Deny：丢弃查询并且不回答客户端。

Refuse：通知客户端查询被拒绝（使用rcode REFUSED）。

Static：向客户端返回NODATA 或 NXDOMAIN响应。

Transparent：这是默认行为。如果查询是针对本地不存在的名称，则会照常解析。如果名称具有本地匹配，但类型不同，则向客户端发送“NOERROR， NODATA”响应。

Type Transparent：与Transparent类似，它也通过查询名称匹配，但类型不匹配。例如，如果客户端查询AAAA记录，但仅存在A记录，则传递AAAA查询而不是接收否定响应。

Redirect：处理来自本地数据的查询，并重定向本地区域下方区域的查询（例如子域）。这可以用来控制给定域下的所有子域的查询。

Inform：正常回应，但记录客户端查询。

Inform Deny：拒绝并记录查询。

No default：禁用区域的任何默认内容，而不影响查询行为。

DNSSEC: 启用域名系统安全扩展（DNSSEC），允许客户端信任DNS响应的来源和内容。 这是默认启用的。 DNSSEC可防止对DNS响应的操纵，如DNS缓存中毒或其他查询拦截，但不会使响应的内容变得秘密。 除非转发服务器支持DNSSEC，否则DNSSEC在直接使用根服务器时效果最佳。 如果上游DNS服务器不支持DNSSEC转发模式或域覆盖，已知DNS查询被上行拦截，或者客户端遇到超大DNS响应问题，则可能需要禁用DNSSEC。

DNS查询转发: 默认情况下禁用。 启用时，unbound将使用系统>常规设置中的系统DNS服务器或从动态WAN接收的系统DNS服务器，而不是直接使用根服务器。 这对于需要精确控制DNS查询路由的多WAN场景来说更好，但是由于缺少上游DNS服务器的支持或转发查询的其他问题，通常也需要禁用DNSSEC。

DHCP注册: 处于活动状态时，可以使用DNS解析DHCP客户端的内部机器名称。 这只适用于在DHCP请求中指定主机名的客户端。 在系统>常规设置中的域名用作主机上的域名。

静态DHCP: 这与DNS转发器中的注册DHCP租约的作用相同，只不过它注册了DHCP静态映射地址。

自定义选项: 用于放置unbound高级指令的文本区域，不受GUI的直接支持。 如果在输入自定义选项后unbound无法正确启动，请在自定义选项之前的一行中添加server:。

主机覆盖

自定义DNS条目可以在页面的主机覆盖部分创建。 主机覆盖可以定义新记录或覆盖现有记录，以便本地客户端接收配置的响应，而不是来自上游DNS服务器的响应。 这对于拆分DNS配置也是有用的，并且作为阻止访问某些特定网站的部分有效手段。

注意：我们不建议仅使用DNS覆盖功能作为阻止访问某些网站的手段。 有无数的方法来解决这个问题。 它会阻止非专业用户，但是对于那些专业技术能力更强的人来说很容易规避。

主机: 该字段只定义了DNS记录的主机名部分（没有域），例如www。对域本身做一个覆盖记录可能会留空（类似于绑定中的“@”记录）。

域: 该字段是必需的，并且为覆盖条目定义域名，例如example.com。

IP地址: IP地址（IPv4或IPv6）作为此条目的DNS查找的结果返回。

描述: 用于识别或提供有关此条目的更多信息的文本说明。

此主机的其他名称: 为同一IP地址定义其他主机名（与CNAME记录非常相似），以将其保留在单个覆盖条目中。

域覆盖

在DNS解析器页面的底部找到域覆盖。这些条目指定用于解析特定域的备用DNS服务器。

通常部署的例子是在小型企业网络中使用带有Active Directory的单个内部服务器，通常是Microsoft Small Business Server。 Active Directory域名的DNS请求必须由Active Directory的内部Windows Server来解决才能正常运行。 为指向内部Windows服务器IP地址的Active Directory域添加覆盖，可确保无论客户端是直接使用此防火墙作为DNS服务器还是Windows Server，都能正确解析这些记录。

在Active Directory环境中，最佳做法是让客户端始终使用Windows DNS服务器作为主DNS服务器，以便动态名称注册和其他与域相关的DNS任务正常工作。在只有一个Windows DNS服务器的环境中，使用Active Directory域的覆盖启用DNS解析器，并使用此防火墙作为内部计算机的辅助DNS服务器。这确保了DNS解析（Active Directory除外）没有单点故障，而单个服务器的丢失并不意味着完全的互联网中断。在这样的环境下，单个服务器的丢失通常会带来重大的后果，但是如果用户还可以在此期间检查他们的lolcats，Facebook，Twitter等等，用户将更容易单独解决问题。

DNS覆盖的另一个常见用途是使用可通过***访问的主站点上的DNS服务器来解析远程站点上的内部DNS域。在这样的环境中，所有DNS查询通常都在中央站点解决，以便对DNS进行集中控制，但有些组织更愿意让Internet DNS在每个站点上使用pfSense进行解析，并且只将内部域的查询转发给中央DNS服务器。请注意，静态路由对于IPsec来说是必要的。

域: 域字段设置将使用此条目解析的域名。这不一定是有效的TLD，它可以是任何东西（例如local, test, lab），也可以是实际的域名（example.com）。

IP地址：指定发送域中主机名查询的DNS服务器的IP地址。如果目标DNS服务器在53以外的端口上运行，则将IP地址后面的端口号添加@分隔值，例如：192.0.2.3@5353

描述: 用于识别或提供有关此条目的更多信息的文本说明。

DNS解析和多WAN

使用默认设置，DNS解析器将在多WAN环境中出现问题。 主要问题是DNS解析器想要直接查询根DNS服务器。 这些查询只会使用默认网关发送出去。 如果包含默认网关的广域网失败，则DNS查询也可能失败。 有办法解决这个限制：

转发模式

启用DNS查询转发并在系统>常规设置下为每个WAN网关至少配置一个DNS服务器。根据上游DNS服务器的支持，也可能需要禁用DNSSEC。

默认网关切换

在系统>高级设置，其他选项卡下启用默认网关切换。 如果首选的默认网关失败，这将把默认网关移动到下一个可用的网关。 但是，这个选项仍然被认为是实验性的，在某些情况下可能会有问题。

DNS解析器和DNS重新绑定保护

默认情况下，启用DNS重新绑定保护，并拒绝私有IP地址响应。 要允许来自已知域的专用IP地址响应，请使用DNS解析器设置中的“自定义选项”框配置允许的域，如下所示：

server:
private-domain: ""

DNS解析高级设置

pfSense提供了一个GUI，用于配置unbound一些更为常用的高级选项。下面的选项记录在unbound.conf手册页中。

隐藏身份: 设置时，尝试查询服务器标识（id.server和hostname.bind）将被拒绝。

隐藏版本: 设置时，尝试查询服务器版本（version.server和version.bind）将被拒绝。

预取支持: 启用时，消息缓存元素将在预先保存到期之前保持缓存保持最新。 此选项可能导致服务器上的DNS流量和负载增加10％左右，但频繁请求的项目不会从缓存中过期。

预取DNS密钥支持: 当启用时，遇到代表签名者记录时，在验证过程中提前获取DNSKEY。这有助于降低请求的延迟，但又利用了更多的CPU，并要求将缓存设置为零以上。

Harden DNSSEC数据: 如果禁用此选项并且未收到DNSSEC数据，则该区域将变得不安全。信任锚定区域需要DNSSEC数据。如果这样的数据不存在，则该区域变成假的。

消息缓存大小: 消息缓存存储DNS响应代码和验证状态。资源记录集（RRSet）缓存将自动设置为这个数量的两倍。 RRSet缓存包含实际的资源记录数据。默认值是4 MB。

出站TCP缓冲区: 每个线程分配的传出TCP缓冲区的数量。默认值是10，如果设置为0，TCP查询将不会被发送到授权服务器。

入站TCP缓冲区: 每个线程分配的传入TCP缓冲区的数量。默认值是10，如果设置为0，则不会从客户端接受TCP查询。

EDNS 缓冲区： 作为EDNS重组缓冲区大小通告的字节数量。 该值被放置在发送给对等体的UDP数据报中。 RFC建议是4096（默认）。 如果碎片重新组装发生问题，通常被视为超时，则1480的值可能有帮助。 512值绕过了大多数MTU路径问题，过大可能会产生过多的TCP回退。

每个线程的查询数量： 每个线程将同时服务的查询数量。如果到达需要服务的附加查询，并且没有查询可以被推出，则新的查询被丢弃。

拥挤超时: 服务器非常繁忙时使用超时。 这可以防止缓慢查询或高查询率的拒绝服务。 默认值是200毫秒。 设置为接近授权服务器的往返时间的值。 当新的查询到达时，如果超过规定的超时，则允许50％运行，并且50％由新的查询替换。

RRsets和消息最大TTL: RRset和缓存中消息的最长生存时间（TTL），以秒为单位指定。 默认值是86400秒（1天）。 内部TTL到期时，缓存项目已过期。 这可以配置为强制解析器更频繁地查询数据，不信任（非常大）的TTL值。

RRsets和消息最小TTL: 缓存中RRset和消息的最短生存时间（以秒为单位）。 默认值是0秒。 如果记录的TTL低于配置的最小值，那么可以将数据缓存的时间超过域所有者的预期时间，从而减少查询来查找数据。 0值确保缓存中的数据不会比域所有者预期的更长。 高值可能会导致麻烦，因为如果高速缓存中的数据发生更改，则可能与实际数据不匹配。

主机缓存条目的TTL: 生存时间（以秒为单位），用于基础结构主机高速缓存中的条目。基础设施主机缓存包含往返时间，跛行和DNS服务器的EDNS支持信息。默认值是15分钟。

要缓存的主机数量：为其缓存信息的基础架构主机数量。默认值是10,000。

不需要的回复阈值: 如果启用，则在每个线程中跟踪总数不受限的答复。 达到阈值时，将采取防御措施，并向日志文件输出警告。 防御行动是清除RRSet和信息缓存，希望冲走任何毒药。 默认是禁用的，但是如果启用，建议使用1000万的值。

日志层级：选择日志详细程度。默认是1级.

Level 0: 只记录错误。

Level 1: 记录操作信息。

Level 2: 记录详细的操作信息。

Level 3: 记录每个查询输出

Level 4: 算法级别信息。

Level 5: 记录缓存未命中的客户端标识。

禁用自动添加访问控制: 禁用自动添加的访问控制条目。缺省情况下，允许该防火墙内部接口的IPv4和IPv6网络。如果选中，则必须在“访问列表”选项卡上手动配置允许的网络。

实验位0x20支持: 在DNS查询中使用0x20编码的随机位来阻止欺骗尝试。 更多信息，请参阅dns-0x20实施草案。

DNS解析访问列表

Unbound需要访问列表（ACL）来控制允许哪些客户端提交查询。缺省情况下，允许该防火墙内部接口的IPv4和IPv6网络。必须手动允许其他网络。

注意：可以使用“高级设置”选项卡上的“禁用自动添加访问控制”选项来禁用自动ACL。

要管理DNS解析器的访问列表，请导航至系统服务> DNS解析器，访问列表选项卡。从这个列表中，可以添加新的条目并且可以编辑或删除现有的条目。

访问列表名称: 访问列表的名称，在访问列表配置文件中显示为注释。

动作: 处理此访问列表中包含的网络的方法，包含以下几种：

Deny: 停止已配置网络中客户端的查询

Refuse: 停止来自配置网络中客户端的查询，并发回拒绝响应代码

Allow: 允许来自配置网络中客户端的查询

Allow Snoop: 允许来自配置网络中客户端的递归和非递归查询，用于缓存监听，并且通常只在管理主机上配置。

描述: 有关此条目的参考说明。

网络: 要由此访问列表条目管理的网络列表。