Esta entrada indica como configurar el DNS en pfsense, para que no aparezca el error REFUSED cuando se hagan consultas desde una LAN que no está autorizada para ello.

Tengo configurado pfsense con tres interfaces de RED:

• LAN_INET: Red que sale a internet donde tengo todos mis PCs de trabajo
• LAN_MZ: Donde tengo todos los servidores que hacen funciones de infraestructura (monitorización, backups, OCSInventory, …)
• LAN_DMZ: Donde tengo instalados los servidores que dan soporte público: Web Server, App Servers, BDs, …

Dentro del propio pfsense tengo configurado el DNS en modo Redirecting para que me resuelva los nombres de todas las máquinas de las tres redes.

Para configurar correctamente la resolución de forma Redirecting, la mejor opción es revisar la propia documentación de pfsense: Redirecting all DNS Requests to pfSense. Finalizando con la siguiente configuración:

Pero dentro de la descripción, no se especifica que para permitir resolver los nombres desde todas las redes, se debe ir por las opciones de: Services > DNS Resolver > Access Lists, para dar permisos a unbound (Solución de DNS en pfsense) y permitir la resolución de nombres en todos los rangos que se necesiten:

En caso de no configurarlo, cuando se hagan pruebas, por ejemplo con NSLOOKUP, aparece el error: ** server can’t find XXXX: REFUSED

Enjoy!!!