2a ATUALIZAÇÃO:
As versões atuais do pfSense (2.2+) agora são baseadas no FreeBSD 10.X. Isso inclui Unbound como o resolvedor. Você pode apontar Unbound para os resolvedores no OpenDNS ou no Google.
[Verdadeiro para o pfSense 2.1 e inferior]
pfsense tem um cache DNS, é chamado dnsmasq. Não inicia a partir dos servidores raiz. Por padrão, ele pegará o DNS do servidor DHCP da WAN, mas você poderá substituí-lo na página da Web. Gostaria de apontar a caixa para um servidor DNS aberto, como
Google está em 8.8.8.8, Nível 3 em 4.2.2.1, 4.2.2.2 OpenDNS em 208.67.222.222, 208.67.220.220
Os servidores raiz estão ocupados, então eu não sugeriria começar com eles. Use os endereços acima e você deve obter um melhor desempenho.
ATUALIZAÇÃO:
Baseado no comentário abaixo que afirma que o dnsmasq não é um cache (não é verdade, dnsmasq faz respostas de cache, mas nem todos os tipos de registros, veja dnsmasq ), gostaria de salientar que há outro pacote no pfSense que faz cache DNS completo. Unbound é um resolvedor de DNS completo com suporte para DNSSEC (solicitações de DNS assinadas). Se você quiser um cache DNS "completo", instale isso em vez de usar o dnsmasq (que vem por padrão).
NOTA: Há uma coisa a saber ao usar o Unbound. Durante uma atualização para o sistema, se o próprio pfSense estiver configurado para usar Unbound como resolvedor, o DNS falhará porque os pacotes não serão instalados até que o sistema operacional seja instalado (mas a atualização do sistema operacional exige que o DNS receba os pacotes). Nesse caso, verifique se há resolvedores de DNS de backup para o pfSense usar durante uma atualização.