Boa tarde,
Interessante esse problema, até por que tenho um cenário parecido com pfSense e nxfilter: já tenho um nxfilter em produção na LAN, e tenho uma rede WiFi de visitante com Captive Portal, na qual ainda não encaminhamos o DNS para o nxfilter, mas pretendemos fazer isso em breve.
Bom, a primeira coisa que me ocorreu foi o seguinte:
Enquanto o usuário/máquina no Captive Portal ainda não se autenticou, em princípio na configuração padrão, o tráfego de rede ainda é bloqueado pelo Captive Portal, e só passa a ser liberado após o usuário se autenticar. Provavelmente por isso o tráfego para poder consultar DNS no nxfilter seja bloqueado.
Dando uma pesquisada, creio que encontrei uma solução:
"DNS resolution not functioning
Clients on the captive portal interface must either be using the DNS resolver or forwarder on pfSense® software, on the IP address of the interface where the client resides (which is the default configuration), or if using another IP address for DNS, it must be in an allowed IP address entry. If DNS fails, the browser never issues the HTTP request, hence it cannot be intercepted and redirected."
Então teria que liberar o tráfego para o IP do nxfilter na aba "Allowed IP Addresses" do Captive Portal.
Espero que isso ajude a resolver o seu problema. Por favor, dê um retorno se conseguiu resolver assim.
Atenciosamente,
--
Marcelo Beckmann
(ò;ó) Suporte Linux, redes, infraestrutura de TI
marcelo...@gmail.com(41)99631-0234