Eu defino o DNS Resolver como meu serviço DNS no meu pfsense v. 2.4.5, defino também o endereço IP local pfsense (127.0.1.1, na verdade 192.168.5.1) como meu único servidor DNS, permitindo que o Resolver envie solicitações de DNS para os servidores raiz do DNS diretamente. Eu estava me perguntando o que aconteceria se algum cliente em minha LAN configurasse o endereço IP dns em suas propriedades de placa de rede para, digamos, ignorar o pfsense Resolver e enviar consultas para resolvedores externos. Então, estabeleci estas regras:
https://pfsense-docs.readthedocs.io/en/latest/dns/blocking-dns-queries-to-external-resolvers.html
Eles funcionam, mas também impedem que os clientes tenham acesso à Internet se definirem seus próprios servidores DNS.
Eu então tentei esta regra NAT:
https://pfsense-docs.readthedocs.io/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html
Mas não sei se funciona como está no artigo. Depois de configurar os servidores DNS nas propriedades da placa de rede do meu PC (8.8.4.4), executo o pfsense Packet Capture , que mostra que as solicitações de DNS são enviadas e respondidas diretamente por 8.8.4.4. Alguns nslookups mostram o mesmo, não entendo exatamente o que está acontecendo e como garantir que a regra NAT acima esteja fazendo seu trabalho corretamente.
O NAT é aplicado automaticamente em ambas as direções. Se o computador enviar pacotes para 8.8.4.4 e o pfSense os redirecionar para outro endereço, ele deve aplicar a alteração exatamente oposta às respostas que retornam ao computador – caso contrário, o computador não o reconheceria como pertencente à mesma conversa.
Portanto, mesmo que a resposta tenha sido realmente gerada pelo seu resolvedor local, o pfSense reescreverá sua fonte para dizer "8.8.4.4" para corresponder à solicitação original.
A maneira mais fácil de determinar se o seu NAT funciona é capturar o mesmo tráfego nas interfaces LAN e WAN. Se as respostas vierem do 8.8.4.4 "real", elas chegarão primeiro à interface WAN, antes de sair para a LAN. Mas se o seu redirecionamento funcionar e eles forem produzidos pelo resolvedor local, os pacotes aparecerão no lado da LAN do nada sem um pacote WAN correspondente.
Como alternativa: diga ao computador para usar um endereço de servidor DNS que não seja um servidor DNS real. (Por exemplo, 192.0.2.x é o intervalo usual de "endereço fictício" e não pode responder a consultas de DNS.) Se o computador de alguma forma receber respostas mesmo depois de consultar um servidor inexistente, isso é um sinal de que o redirecionamento está funcionando.