DNS Resolver vs DNS Forwarder in pfSense (Giải Thích Chi Tiết)

DNS là một thành phần cực kỳ quan trọng trong mọi hạ tầng mạng. Trong pfSense firewall, hệ thống DNS được thiết kế rất linh hoạt nhờ hai cơ chế chính: DNS Resolver (Unbound) và DNS Forwarder.

Việc hiểu rõ cách hoạt động của hai cơ chế này giúp quản trị viên thiết kế hệ thống mạng ổn định, bảo mật và dễ quản lý hơn, đặc biệt khi pfSense hoạt động cùng với Active Directory, DNS nội bộ hoặc các công cụ lọc DNS như pfBlockerNG.

Trong bài viết này, chúng ta sẽ tìm hiểu chi tiết về DNS Forwarder trong pfSense, cách nó khác với DNS Resolver, cũng như khi nào nên sử dụng Host Override và Domain Override pfSense để quản lý DNS trong hệ thống mạng nội bộ.

1. Basic DNS Configuration in pfSense

Trước khi cấu hình các tính năng DNS nâng cao, bạn cần thiết lập DNS cơ bản cho pfSense.

Truy cập:

System → General Setup

Ví dụ DNS server:

DNS server này sẽ được pfSense sử dụng để phân giải các domain trên internet.

Bạn cũng có thể thêm các DNS server khác như Google DNS hoặc Cloudflare DNS để tăng tính dự phòng và cải thiện tốc độ truy vấn DNS.

Cấu hình DNS cơ bản đúng cách giúp firewall phân giải domain ổn định và xử lý truy vấn DNS hiệu quả hơn.

2. DNS Resolver (Unbound)

Trong pfSense, dịch vụ DNS Resolver sử dụng phần mềm Unbound, cho phép firewall tự phân giải DNS trực tiếp mà không phụ thuộc vào DNS của ISP hoặc Google.

Thay vì gửi truy vấn DNS đến server trung gian, pfSense sẽ truy vấn trực tiếp theo cấu trúc DNS toàn cầu.

Cơ chế hoạt động:

Client → pfSense → Root DNS → TLD → Authoritative DNS

Đây được gọi là Recursive DNS Resolution.

Ưu điểm của DNS Resolver

• Independent of Google/ISP
• More secure

• Supports DNSSEC
• Supports DNS over TLS
• Excellent local caching

Nhờ những ưu điểm này, DNS Resolver thường là lựa chọn mặc định trong nhiều hệ thống pfSense hiện nay.

Để cấu hình, truy cập:

Services → DNS Resolver

Enable DNS Resolver

Bật các tùy chọn sau:

✅ Enable DNS Resolver
✅ Network Interfaces

Chọn:

• LAN
• Localhost

⚠️ DO NOT select WAN

Điều này giúp đảm bảo chỉ các thiết bị trong mạng nội bộ mới có thể truy cập DNS server của pfSense.

Outgoing Network Interfaces

Chọn:

• All (or WAN)

Thiết lập này cho phép pfSense truy cập internet để thực hiện truy vấn DNS khi cần thiết.

Enable DNSSEC Support

Bật tùy chọn:

✅ Enable DNSSEC Support

DNSSEC giúp xác thực tính toàn vẹn của phản hồi DNS, ngăn chặn các cuộc tấn công giả mạo DNS.

Trong các hệ thống yêu cầu bảo mật cao, DNSSEC là một tính năng rất nên bật.

3. Configuring Host Override

Host Override cho phép quản trị viên tạo bản ghi DNS nội bộ trực tiếp trong pfSense.

Tính năng này tương tự như việc chỉnh sửa file hosts trên Windows, nhưng thay vì áp dụng cho một máy, nó áp dụng cho toàn bộ hệ thống mạng.

Host Override rất hữu ích trong nhiều tình huống.

When to Use Host Override

1️⃣ Khi không sử dụng Active Directory

Trong những mạng nhỏ không có DNS nội bộ, Host Override có thể dùng để tạo các bản ghi DNS nội bộ đơn giản.

2️⃣ Khi có Active Directory nhưng muốn override một host

Ví dụ:

• Domain Controller hiện có record

web.tsf.local → 192.168.16.60

• Nhưng bạn muốn chuyển sang server mới

192.168.16.80

Thay vì chỉnh sửa DNS ngay trên Domain Controller, bạn có thể tạo Host Override trong pfSense để trả về IP mới trước.

Truy cập:

Services → DNS Resolver → Host Overrides

Practical Example

Giả sử trong hệ thống mạng bạn có các server sau:

• NAS: 192.168.16.50
• Internal Web: 192.168.16.173

Bạn muốn khi người dùng nhập:

• nas.tsf.local
• web.tsf.local

trên trình duyệt hoặc sử dụng ping, hệ thống sẽ tự động trả về đúng IP.

Nếu không có bản ghi DNS, hostname sẽ không thể phân giải được.

Host Override giúp pfSense trả lời các truy vấn DNS nội bộ ngay lập tức.

4. Domain Override

Domain Override pfSense được sử dụng khi pfSense đóng vai trò DNS gateway chính của hệ thống.

Cấu hình này đặc biệt quan trọng khi sử dụng pfBlockerNG hoặc hệ thống lọc DNS tập trung.

Trong môi trường Microsoft truyền thống, Domain Controller thường đóng vai trò DHCP và DNS server, vì vậy đôi khi không cần cấu hình Domain Override.

Tuy nhiên nếu pfSense quản lý DNS cho client thì Domain Override là cấu hình rất quan trọng.

Domain Override hoạt động như thế nào

Domain Override cho phép pfSense:

👉 Khi gặp truy vấn DNS thuộc một domain cụ thể

👉 Chuyển tiếp truy vấn đó đến DNS server khác

Ví dụ:

Bạn có Active Directory server nội bộ:

Domain: tsf.local
IP: 192.168.16.186

Bạn muốn luồng truy vấn DNS như sau:

Client → pfSense → query tsf.local → pfSense chuyển tiếp đến 192.168.16.186

Thay vì để pfSense tự phân giải.

Cấu hình DHCP quan trọng

DHCP server trên pfSense phải cấp DNS server cho client như sau:

DNS Server:

Đây là IP LAN của pfSense.

Nếu client sử dụng trực tiếp DNS của Domain Controller:

• Domain override sẽ không có ý nghĩa
• pfSense sẽ không kiểm soát được DNS
• pfBlockerNG có thể không hoạt động đúng

Các bước triển khai Domain Override

Step 1: Trên pfSense DHCP Server thêm DNS 192.168.16.1 (pfSense IP)

Step 2: Cấu hình DNS cơ bản 8.8.8.8 / 1.1.1.1 trong General Setup

Step 3: Tạo Domain Override trỏ tới DC IP

Step 4: Test bằng cách cho client join domain.

5. So sánh Host Override và Domain Override

Việc hiểu rõ sự khác biệt giữa Host Override và Domain Override pfSense giúp thiết kế hệ thống DNS hiệu quả hơn.

Domain Override

Domain Override nghĩa là chuyển truy vấn DNS sang server khác.

“This is not my responsibility, ask the DC.”

Host Override

Host Override nghĩa là pfSense tự trả lời truy vấn DNS.

“I know this, IP address here.”

Kết luận

Hiểu rõ sự khác biệt giữa DNS Resolver và DNS Forwarder trong pfSense là điều cần thiết để xây dựng hệ thống mạng ổn định và bảo mật.

DNS Resolver giúp pfSense tự phân giải DNS với khả năng cache mạnh và bảo mật cao, trong khi Host Override và Domain Override pfSense giúp quản trị viên kiểm soát DNS nội bộ linh hoạt hơn.

Khi được cấu hình đúng cách, pfSense có thể hoạt động như một DNS gateway trung tâm, giúp tăng khả năng kiểm soát, bảo mật và tối ưu việc quản lý DNS trong toàn bộ hệ thống mạng. 🌐🔐