有时我们为了某些特定的要求,如过滤广告、加快DNS查询时,可以将客户端DNS仅限制为使用pfSense DNS解析器或转发器,并通过使用端口转发来截获客户端发送到其他服务器的所有DNS请求。要设置DNS重定向,请按以下步骤进行操作。
配置DNS服务器
导航到”系统>常规设置”菜单,在DNS服务器设置选项,为每个WAN接口至少填写一个DNS服务地址。推荐使用速度较快的公共DNS,如果你配置了Pi-hole,也可以在这里填入Pi-hole的服务器地址。PPPOE拨号用户,DNS服务器覆盖选项不要勾选,其他选项默认即可。
提示:可以在”状态>DNS解析”菜单查看DNS服务器的状态。
启用DNS解析
导航到”服务>DNS解析”菜单,选中启用DNS解析器和启用转发模式两个选项,注意网络接口选中全部,其他选项默认。
创建端口转发条目
导航到”防火墙>地址转换”菜单,新建端口转发条目,填写以下字段:
- 接口:LAN(我的示例是多LAN,这里选LAN1)
- 协议:TCP / UDP
- 目标:选中“反转匹配” ,LAN1地址(反转匹配表示除LAN1地址以外的所有其他地址)
- 目标端口范围:DNS
- 重定向目标IP:
127.0.0.1 - 重定向目标端口:DNS
- 描述:重定向
DNS - NAT回流:禁用
保存并应用更改后,防火墙的LAN1接口将自动添加对应的防火墙规则,将该防火墙规则移动到列表顶部保存并应用更改,如下图所示。
设置完成后,来自客户端的对任何外部IP地址的DNS查询请求将自动转发到防火墙的本地DNS进行,再无法访问其他外部DNS服务器。
提示:在转发条目中将目标从“ LAN地址”更改为包含允许的DNS服务器的别名,就可以将它修改为仅允许访问特定的一组DNS服务器。
测试设置
如果客户端的DNS不是使用防火墙的接口LAN地址,DNS查询被防火墙截获并重定向后,规则对应的LAN选项卡下的重定向条目状态信息发会生相应的变化,见下图箭头所指出的地方。
如果在常规设置处设置了多个DNS服务器, 使用该方法,可以在一定程度上提升DNS的查询速度。
