Pfsense comme serveur DNS en cache

2ème MISE À JOUR :

Les versions actuelles de pfSense (2.2+) sont maintenant basées sur FreeBSD 10.X. Cela inclut Unbound comme résolveur. Vous pouvez diriger Unbound vers les résolveurs d'OpenDNS ou de Google.

[Vrai pour pfSense 2.1 et inférieur].

pfsense a un cache DNS, il s'appelle dnsmasq. Il ne part pas des serveurs racine. Par défaut, il prend le DNS du serveur DHCP du réseau étendu, mais vous pouvez le remplacer à partir de la page Web. Je ferais pointer la boîte vers un serveur DNS ouvert, comme par exemple

Google à 8.8.8.8, Level3 à 4.2.2.1, 4.2.2.2 OpenDNS à 208.67.222.222, 208.67.220.220

Les serveurs racine sont occupés, je ne vous conseille donc pas de commencer par eux. Utilisez les adresses ci-dessus et vous devriez obtenir de meilleures performances.

UPDATE :

En se basant sur le commentaire ci-dessous qui indique que dnsmasq n'est pas un cache (ce qui n'est pas vrai, dnsmasq met en cache les réponses, mais pas tous les types d'enregistrements, cf. dnsmasq ), je voudrais signaler qu'il y a un autre paquet sur pfSense qui fait une mise en cache complète des DNS. Unbound est un résolveur DNS complet avec un support pour DNSSEC (requêtes DNS signées). Si vous voulez un cache DNS "complet", installez-le au lieu d'utiliser dnsmasq (qui est fourni par défaut).

REMARQUE : Il y a une chose à laquelle il faut faire attention lors de l'utilisation de Unbound. Lors d'une mise à niveau du système, si pfSense est configuré pour utiliser uniquement Unbound comme résolveur, le DNS échouera car les paquets ne seront pas installés avant l'installation du système d'exploitation (mais la mise à niveau du système d'exploitation nécessite le DNS pour obtenir les paquets). Dans ce cas, assurez-vous qu'il existe des résolveurs DNS de secours que pfSense pourra utiliser lors d'une mise à niveau.