Dnsmasq是一种轻型、容易配置的DNS转发器,可用于答复来自网络的dns查询,Unbound DNS也提供了类似的功能。
自OPNsense 17.7开始,Unbound一直是OPNsense的标准DNS服务,仍保留Dnsmasq原因主要是考虑兼容性,建议大多数用户最好选择Unbound。
常规选项
这里的设置简单明了,当从网络接收到服务时,它就开始转发dns请求。
| 启用 | 启用DNS转发器 |
| 侦听端口 | 用于响应DNS查询的端口,如果为空,则使用标准端口(53)。 |
| 网络接口 | 要侦听的接口,在使用动态接口时,建议不要绑定到这些接口的地址。[全部]是标准配置,在这种情况下,可以使用防火墙限制访问。 |
| 绑定模式 | 提供网络接口时,仅绑定到包含上面选择的IP地址的接口,而不绑定到所有接口并丢弃对其他地址的查询。此选项不适用于IPv6。如果设置,则Dnsmasq将不会绑定到IPv6地址。 |
| DNSSEC | 验证DNS答复并缓存DNSSEC数据。 |
| DHCP注册 | 在Dnsmasq中注册dhcp租约,以便可以解析其主机名。(仅IPv4) |
| DHCP域覆盖 | 设置后,请使用此处指定的域名而不是系统域来注册地址。 |
| 静态DHCP | 要注册的静态dhcp地址。 |
| 顺序查询DNS服务器 | 如果设置了此选项,则Dnsmasq将按指定的顺序(系统:常规设置:DNS服务器)顺序查询DNS服务器,而不是同时并行查询所有DNS服务器。 |
| 需要域名 | 如果设置了此选项,则Dnsmasq不会将不带点或域部分的纯名称的A或AAAA查询转发到上游域名服务器。如果从/ etc / hosts或DHCP无法知道该名称,则返回“未找到”答案。 |
| 不转发私有反向查找 | 如果设置此选项,则Dnsmasq不会将私有地址(RFC 1918)的反向DNS查找(PTR)转发给上游域名服务器。“域覆盖”部分中将私有“ nnnin-addr.arpa”名称转发到特定服务器的所有条目仍将转发。如果/ etc / hosts,DHCP或特定的域覆盖不知道要使用名称的IP,则立即返回“未找到”答案。 |
| 记录查询 | 记录DNS查询的结果。 |
主机覆盖
这里可以定义静态主机名,当被询问时,它允许答复特定的地址,每个条目都有以下选项可用。
| 主机 | 要注册的主机名 |
| 域 | 要使用的域名 |
| IP地址 | 主机的IP地址,可以是IPv4(A记录)或IPv6地址(AAAA记录) |
| 描述 | 该主机的描述性文字 |
| 别名 | 为相同的IP地址注册备用主机+域名 |
域覆盖
如果特定域应由其他DNS服务器应答,则可以在此处进行配置。
| 域 | 要使用的域名 |
| IP地址 | 该域的权威DNS服务器的IP地址 |
| 端口 | 目标DNS服务器的端口号,默认为空白(53) |
| 源IP | 查询覆盖域的DNS服务器的源IP地址。除非通过VPN隧道访问DNS服务器,否则请留空。 |
| 描述 | 此条目的描述性文字 |
高级设置
要配置gui中不可用的选项,可以在防火墙本身添加自定义配置文件。可以添加文件到/usr/local/etc/dnsmasq.conf.d/,这些文件应使用扩展名.conf(例如custom-options.conf)。