我正在将pfSense设置为防火墙/路由器。我想让它运行DNS解析器,所以我可以使用pfblockerng。
我已使用默认网关配置了2个公共DNS服务器。 DNS解析器配置为转发模式。
最终,我将设置传出的VPN,并且阻止进入DSL路由器的所有其他流量。 VPN下来?没有互联网,没有DNS,没有。
在我的查询中(我的互联网路由器上的tcpdump)我看到我的内部域名被追加到查询中,即使是有效的查询也是如此。
示例,来自pfsense DNS检查(诊断菜单)我输入google.com,我看到了:
12:40:48.255156 IP (tos 0x0, ttl 64, id 30637, offset 0, flags [none], proto UDP (17), length 45)
192.168.1.1.49038 > 84.200.69.80.53: [udp sum ok] 60481+ NS? . (17)
12:40:48.284198 IP (tos 0x0, ttl 64, id 8247, offset 0, flags [none], proto UDP (17), length 45)
192.168.1.1.4642 > 84.200.70.40.53: [udp sum ok] 52602+ NS? . (17)
12:40:48.313250 IP (tos 0x0, ttl 64, id 15226, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.17078 > 84.200.69.80.53: [udp sum ok] 51473+ [1au] A? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.341439 IP (tos 0x0, ttl 64, id 24297, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.60070 > 84.200.69.80.53: [udp sum ok] 41295+ [1au] AAAA? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.368481 IP (tos 0x0, ttl 64, id 17792, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.7038 > 84.200.70.40.53: [udp sum ok] 38162+ [1au] CNAME? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.404360 IP (tos 0x0, ttl 64, id 37382, offset 0, flags [none], proto UDP (17), length 81)
192.168.1.1.13371 > 84.200.69.80.53: [udp sum ok] 3273+ CNAME? google.com.internal.mydomain.com. (53)
“mydomain.com”是我公开控制的注册域名。我在LAN上注册并使用internal.mydomain.com。
最终,pfsense也需要执行DHCP,我希望它能够解析* .internal.mydomain.com中的本地LAN主机。
基本上,我从不希望将“internal.mydomain.com”附加到公共查询中。实际上,永远不应该将它附加到任何查询中。我可以禁用此“功能”吗?谁想要将本地域名后缀附加到以有效TLD结尾的DNS查询?将其附加到查询“johns-pc”或“hplaserjetii”,但不是“google.com”。
第二,基本上,pfsense / unbound应该将.internal.mydomain.com的查询保持为“自己”,永远不会将其发送出去,因为这些只是LAN上提供DHCP的本地主机。* .mydomain的其他查询。 com应该出去,只需要排除“internal.mydomain.com”。
谁能帮我正确设置?
非常感谢提前!