iptables應用之動態DNS(轉)[@more@]

一、核心思想

配置動態DNS伺服器的核心思想是：在DNS伺服器上執行多個BIND，每個BIND為來自不同區域的使用者提供解析，因此每個BIND都應具有不同的配置檔案和域檔案，並且分別監聽在不同的埠。在接到客戶端DNS請求時，根據客戶的ip地址將請求重定向不同的BIND服務埠。BIND響應時，再改寫相應包的服務埠為標準的53埠。這樣就可以根據客戶端的ip地址將不同的解析結果返回給客戶端。整個過程對於客戶端來說都是透明的。實現的關鍵在於執行不同的BIND及運用iptables進行ip地址及埠改寫操作。

關於iptables更為詳細的資訊，請參考解決方案中作者的兩篇文章——《用iptales實現包過慮型防火牆》及《用iptables實現NAT》。

二、配置過程

步驟1：配置核心

netfilter要求核心版本不低於2.3.5，在編譯新核心時，要求選擇和netfilter相關的專案。這些專案通常都是位於"Networking options"子項下。以2.4.0核心為例，我們應該選中的專案有：

[*] Kernel/User netlink socket

[ ] Routing messages

Netlink device emulation

[*] Network packet filtering (replaces ipchains)

.......

然後，在"IP: Netfilter Configuration ----&gt"選中：

Connection tracking (required for masq/NAT)

FTP protocol support

IP tables support (required for filtering/masq/NAT)

limit match support

MAC address match support

Netfilter MARK match support

Multiple port match support

TOS match support

Connection state match support

Packet filtering

REJECT target support

Full NAT

MASQUERADE target support

REDIRECT target support

Packet mangling

TOS target support

MARK target support

LOG target support

ipchains (2.2-style) support

ipfwadm (2.0-style) support

其中最後兩個專案可以不選，但是如果你比較懷念ipchains或者ipfwadm，你也可以將其選中，以便在2.4核心中使用ipchians或 ipfwadm。但是需要注意的是，iptables是和ipchians/ipfwadm相對立的，在使用iptables的同時就不能同時使用 ipchains/ipfwadm。編譯成功後，這些模組檔案都位於以下目錄中

/lib/modules/2.4.0/kernel/net/ipv4/netfilter

編譯2.4.0的新核心時還應該注意要在"Processor type and features"中選擇和你的CPU相對應的正確的CPU選項，否則新核心可能無法正常工作。

步驟二、配置BIND服務

預設地，BIND服務監聽在53埠，我們可以透過配置讓BIND執行在不同的ip及埠上。實現這一點並不複雜，假設我們的DNS伺服器的ip地址是 211.163.76.1，並且我們想區分CERNET及非CERNET的客戶，這時我們必須執行兩個BIND，使用不同的配置檔案。可以在使用非標準監聽埠的BIND的配置檔案中用listen-on指定BIND監聽的埠，比如：

options {

listen-on port 54 {211.163.76.1;}

directory "/var/named_cernet";

};

可以用named的-c 選項指定named讀入不同的配置檔案，比如：

/usr/sbin/named -u named -c /etc/named_cernet.conf

步驟三、配置重定向規則

假設監聽在標準埠的BIND伺服器為非CERNET客戶提供DNS解析，監聽在54埠的BIND伺服器為CERNET伺服器提供DNS解析，我們可以建立如下的規則指令碼：

#!/bin/bash

#開啟埠轉發

echo 1 > /proc/sys/net/ipv4/ip_forward

#載入相關的核心模組

/sbin/modprobe iptable_filter

/sbin/modprobe ip_tables

/sbin/modprobe iptables_nat

#重新整理所有規則

/sbin/iptables -t nat -F

#加入來自CERNET的DNS請求轉發規則，將其轉發到本地54埠，CERNET地址列表可從獲得

/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54

…

#將返回給CERNET DNS客戶資料包的源埠(54埠)偽裝成53埠

/sbin/iptables -t nat -A POSTROUTING -p udp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53

/sbin/iptables -t nat -A POSTROUTING -p tcp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53

教育網網的朋友可以從這裡下載該指令碼，將指令碼中的DNS_IP及CNET_PORT引數改成你自己的DNS伺服器地址及監聽埠即可。

步驟四、執行動態DNS

配置完成後我們啟動DNS伺服器，並且執行相應的規則指令碼，我們的動態DNS伺服器就可以正常工作了

iptables應用之動態DNS(轉)

相關文章