现在已经有越来越多的DNS提供商提供基于TLS协议的DNS,这提升了DNS查询的安全性和隐私性。从pfSense2.3版本开始提供的Unbound,默认启用了内置DNS解析器,现在配置基于TLS协议的DNS已经非常简单。
下面以pfSense plus 23.05.1中文定制版为例,介绍配置1.1.1.1 DNS的过程。
1.1.1.1 是由Cloudflare运营的公共DNS解析器,它提供了一种快速且私密的方式来浏览互联网。与国内各运营商的DNS不同,1.1.1.1 不会将用户数据出售给广告商,也不会劫持查询结果,1.1.1.1 被认为是最快最安全的DNS之一。
配置系统DNS
转到系统>常规设置,在DNS服务器设置栏填入Cloudflare的DNS,主机名留空(经测试,填入主机名,会导致无法查询DNS,这与官方教程有所不同)。如果是拨号或DHCP方式上网,注意不要选中“ DNS服务器覆盖”选项,以避免修改为ISP或DHCP服务器提供的DNS。DNS解析行为选中优先使用本地DNS,然后是远程DNS服务器(默认选项)。
配置Unbound
导航到服务> DNS解析。选中启用DNS解析器,网络接口和出站接口选择全部。
启用转发模式并使用SSL/TLS选项,不要选中DNSSEC选项,DNSSEC通常与转发模式不兼容,无论有或没有 DNS over TLS。
测试设置
客户端将DNS指定为防火墙的LAN接口地址,打开浏览器访问部分网站,然后转到诊断>重置状态,使用853端口过滤,过滤DNS查询结果。
导航到状态>DNS解析菜单,查看解析统计信息:
相关文章:
你好,我试了223.5.5.5 和 1.1.1.1 都正常工作。 但是1.12.12.12 和 120.53.53.53(腾讯dns)在dns lookup下却显示query time 是no response。
还在ubuntu 下使用dig腾讯dns的dot dns是正常的,853端口也正常。 腾讯官网也说dot可以。
请问是哪里设置不对吗?
部分DNS有兼容性问题