现在已经有越来越多的DNS提供商通过TLS提供DNS,这提升了DNS查询的安全性和隐私性
从pfSense2.3版本开始提供的Unbound,默认启用了内置DNS解析器,这让pfSense上配置TLS协议的DNS变得非常简单。
下面以pfSense2.5版本为例,来介绍配置过程。
注意:本示例仅适用于DNS解析器。由于示例定义了自己的转发区域,因此在DNS解析器中,不选中转发模式,这与官方的配置方法相同。
配置系统DNS
转到系统>常规设置,然后在DNS服务器下为每个WAN网关添加一个DNS。注意不要选中“ DNS服务器覆盖”选项,以避免修改为ISP提供的DNS。
配置Unbound
导航到服务> DNS解析器。确保启用了DNS解析器。选择全部网络接口。选中使用SSL / TLS。
打开自定义选项,输入以下数据:
server: forward-zone: name: "." forward-ssl-upstream: yes forward-addr: 1.1.1.1@853 forward-addr: 9.9.9.9@853 forward-addr: 8.8.8.8@853 forward-addr: 149.112.112.112@853
注意,这里的DNS必须支持TLS,填写完成后如下图所示:
保存设置,并点击应用。
测试设置
客户端将DNS指定为防火墙的默认网关,打开网页,正常浏览。然后转到诊断>状态,使用853端口过滤,就可以查看DNS查询的情况。
如果要验证DNSSEC支持。只需打开https://dnssec.vs.uni-due.de/,点击“开始测试”。
如果支持DNSSEC,则显示下面的画面:
不支持DNSSEC,将出现下面的画面:
注意,在切换DNSSEC和测试过程中,要确保使用无痕浏览或清除浏览器的缓存。
相关文章:OPNsense配置TLS协议DNS