Конечно нет, но это могут быть две разные проблемы , имеющие одну сущность.

И какую?)

Squid умеет включать в iсp пакеты информацию о icmp если включен query_icmp , соответственно есть предположение что он включен и данная информация squid обрабатывается не всегда корректно. Проблема может быть и аппаратной из-за нехватки ресурсов машины на которой тот же pf крутится, ткнуть и выключить сервис и проверить, занимает в 10 раз меньше времени чем вы потратили стараясь указать на мою некомпетентность.

=D

Я не понимаю причем тут вообще протокол взаимодействия кэшем?

Думаю будет полезно, недавно нашел блог по freebsd и в частности по сабжу статейки есть https://osbsd.com/category/firewall

System / General Setup / DNS Server Settings / Disable DNS Forwarder

Спасибо большое! А с этим пунктом как лучше быть, ВКЛ или ВЫКЛ?

выкл, если не хотите чтобы прилетали днсники от провайдера (если по динамике, PPP, итп)

кто-нибудь сталкивался с проблемой что igmp proxy меняет версию report ? pf 2.4.5 приставка отправляет report 2 версии , а pf 3 версии... проблема что пров работает именно на 2 версии плюс некотороые сервера у него отказываются принимать репорты 3 как следствие часть каналов не работает. В инете достаточно описаний проблемы но  как бы я не пробовал прописать  net.inet.igmp.default_version = 2 и в system tunables /etc/rc, на ситуацию это ни как не влияет.

sysctl -a | grep igmp
net.inet.igmp.gsrdelay: 10
net.inet.igmp.default_version: 2
net.inet.igmp.legacysupp: 1
net.inet.igmp.v2enable: 1
net.inet.igmp.v1enable: 1
net.inet.igmp.sendlocal: 1
net.inet.igmp.sendra: 0
net.inet.igmp.recvifkludge: 1

tcpdump -i em2 | grep igmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em2, link-type EN10MB (Ethernet), capture size 262144 bytes
13:32:44.674446 IP 192.168.101.1 > all-systems.mcast.net: igmp query v2
13:32:45.971892 IP 192.168.101.100 > 224.0.0.251: igmp v2 report 224.0.0.251
13:32:46.053159 IP 192.168.101.1 > igmp.mcast.net: igmp v2 report igmp.mcast.net

tcpdump -i em0 | grep igmp | grep ...
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:47:01.067170 IP recursor-slave.domain > ....57733: 24636 1/0/0 PTR igmp.mcast.net. (69)
12:47:01.285513 IP recursor-master.domain > ....57733: 24636 1/0/0 PTR igmp.mcast.net. (69)
12:47:14.402841 IP ... > igmp.mcast.net: igmp v3 report, 1 group record(s)
12:47:17.413184 IP ... > igmp.mcast.net: igmp v3 report, 1 group record(s)

А в чем негатив от днс от провайдера?  Как показывает практика они самы быстрые

Свой кэширующий dns сервер будет быстрее

а если это dnscrypt-proxy, то еще и приватно

Проверял плагин на Opnsense, похоже что заголовки dns запроса отправляется все-таки в открытом виде, заблокированные сайты  не открывались. С goodbyeDPI при этом открываются. Поэтому dns over tls предпочтительней.

wtf? в каком открытом виде?)

Не зашифрованы

бред

Нет

Открытие заблокированных сайтов это не про dns over tls. Не сравнивайте тёплое с мягким.

затычки на заблокированные ресурсы. Негатива нет, я вам ответил за что отвечает этот чекбокс и что будет если вы снимите галку