我正在将 pfSense 设置为防火墙/路由器。我希望它运行 DNS Resolver,以便我可以使用 pfblockerng。
我已经使用默认网关配置了 2 个公共 DNS 服务器以退出。DNS Resolver 配置为转发模式。
最终,我将设置传出 VPN,所有其他进入 DSL 路由器的流量都将被阻止。VPN 关闭?没有互联网,没有 DNS,什么都没有。
在我的查询(我的 Internet 路由器上的 tcpdump)中,我看到我的内部域名被附加到查询中,即使是可以正常解析的有效域名。
例如,从 pfsense DNS 检查(诊断菜单)我输入 google.com 并看到:
12:40:48.255156 IP (tos 0x0, ttl 64, id 30637, offset 0, flags [none], proto UDP (17), length 45)
192.168.1.1.49038 > 84.200.69.80.53: [udp sum ok] 60481+ NS? . (17)
12:40:48.284198 IP (tos 0x0, ttl 64, id 8247, offset 0, flags [none], proto UDP (17), length 45)
192.168.1.1.4642 > 84.200.70.40.53: [udp sum ok] 52602+ NS? . (17)
12:40:48.313250 IP (tos 0x0, ttl 64, id 15226, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.17078 > 84.200.69.80.53: [udp sum ok] 51473+ [1au] A? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.341439 IP (tos 0x0, ttl 64, id 24297, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.60070 > 84.200.69.80.53: [udp sum ok] 41295+ [1au] AAAA? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.368481 IP (tos 0x0, ttl 64, id 17792, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.7038 > 84.200.70.40.53: [udp sum ok] 38162+ [1au] CNAME? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.404360 IP (tos 0x0, ttl 64, id 37382, offset 0, flags [none], proto UDP (17), length 81)
192.168.1.1.13371 > 84.200.69.80.53: [udp sum ok] 3273+ CNAME? google.com.internal.mydomain.com. (53)
“mydomain.com”是我控制下的注册域,可公开访问。我只在我的 LAN 上注册和使用 internal.mydomain.com。
最终,pfsense 也需要进行 DHCP,我希望它能够解析 *.internal.mydomain.com 中的本地 LAN 主机。
基本上,我从不希望将“internal.mydomain.com”附加到公共查询中。事实上,它永远不应该附加到任何查询中。我可以禁用这个“功能”吗?谁愿意将本地域后缀附加到以有效 TLD 结尾的 DNS 查询?将其附加到查询“johns-pc”或“hplaserjetii”,而不是“google.com”。
其次,基本上,pfsense/unbound 应该保留对 .internal.mydomain.com" 的查询,永远不要将其发送出去,因为这些只是它提供 DHCP 的 LAN 上的本地主机。对 *.mydomain.com 的其他查询应该去不过,只排除“internal.mydomain.com”。
谁能帮我正确设置?
提前谢谢了!