摘要
本文介紹了使用iptables配置動態DNS服務器的配置過程。(2002-06-24 12:37:53)
------------------------------------------------------------------------------
--
By 處處
1.核心思想
配置動態DNS服務器的核心思想是:在DNS服務器上運行多個BIND,每個BIND為來自不
同區域的用戶提供解析,因此每個BIND都應具有不同的配置文件和域文件,並且分別監聽
在不同的端口。在接到客戶端DNS請求時,根據客戶的ip地址將請求重定向不同的BIND服務
端口。BIND響應時,再改寫相應包的服務端口為標准的53端口。這樣就可以根據客戶端的
ip地址將不同的解析結果返回給客戶端。整個過程對於客戶端來說都是透明的。實現的關
鍵在於運行不同的BIND及運用iptables進行ip地址及端口改寫操作。
關於iptables更為詳細的信息,請參考解決方案中作者的兩篇文章——《用iptales實
現包過慮型防火牆》及《用iptables實現NAT》。
2.配置過程
2.1.配置內核
netfilter要求內核版本不低於2.3.5,在編譯新內核時,要求選擇和netfilter相關的
項目。這些項目通常都是位於"Networking options"子項下。以2.4.0內核為例,我們應該
選中的項目有:
[*] Kernel/User netlink socket
[ ] Routing messages
<*> Netlink device emulation
[*] Network packet filtering (replaces ipchains)
.......
然後,在"IP: Netfilter Configuration ---->"選中:
<M> Connection tracking (required for masq/NAT)
<M> FTP protocol support
<M> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC address match support
<M> Netfilter MARK match support
<M> Multiple port match support
<M> TOS match support
<M> Connection state match support
<M> Packet filtering
<M> REJECT target support
<M> Full NAT
<M> MASQUERADE target support
<M> REDIRECT target support
<M> Packet mangling
<M> TOS target support
<M> MARK target support
<M> LOG target support
<M> ipchains (2.2-style) support
<M> ipfwadm (2.0-style) support
其中最後兩個項目可以不選,但是如果你比較懷念ipchains或者ipfwadm,你也可以將
其選中,以便在2.4內核中使用ipchians或ipfwadm。但是需要注意的是,iptables是和ip
chians/ipfwadm相對立的,在使用iptables的同時就不能同時使用ipchains/ipfwadm。編
譯成功後,這些模塊文件都位於以下目錄中
/lib/modules/2.4.0/kernel/net/ipv4/netfilter
編譯2.4.0的新內核時還應該注意要在"Processor type and features"中選擇和你的
CPU相對應的正確的CPU選項,否則新內核可能無法正常工作。
2.2.配置BIND服務
缺省地,BIND服務監聽在53端口,我們可以通過配置讓BIND運行在不同的ip及端口上
。實現這一點並不復雜,假設我們的DNS服務器的ip地址是211.163.76.1,並且我們想區分
CERNET及非CERNET的客戶,這時我們必須運行兩個BIND,使用不同的配置文件。可以在使
用非標准監聽端口的BIND的配置文件中用listen-on指定BIND監聽的端口,比如:
options {
listen-on port 54 {211.163.76.1;}
Directory "/var/named_cernet";
};
可以用named的-c 選項指定named讀入不同的配置文件,比如:
/usr/sbin/named -u named -c /etc/named_cernet.conf
2.3.配置重定向規則
假設監聽在標准端口的BIND服務器為非CERNET客戶提供DNS解析,監聽在54端口的BIN
D服務器為CERNET服務器提供DNS解析,我們可以建立如下的規則腳本:
#!/bin/bash
#打開端口轉發
echo 1 > /proc/sys/net/ipv4/ip_forward
#加載相關的內核模塊
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptables_nat
#刷新所有規則
/sbin/iptables -t nat -F
#加入來自CERNET的DNS請求轉發規則,將其轉發到本地54端口,
#CERNET地址列表可從www.nic.edu.cn/RS/ipstat/獲得
/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15
--dport 53 -i eth0 -j REDIRECT 54
…
#將返回給CERNET DNS客戶數據包的源端口(54端口)偽裝成53端口
/sbin/iptables -t nat -A POSTROUTING -p udp
--sport 54 -o eth0 -j SNAT --to 211.163.76.1:53
/sbin/iptables -t nat -A POSTROUTING -p tcp
--sport 54 -o eth0 -j SNAT --to 211.163.76.1:53
教育網網的朋友可以從這裡這裡下載該腳本,將腳本中的DNS_IP及CNET_PORT參數改成
你自己的DNS服務器地址及監聽端口即可。
2.4.運行動態DNS
配置完成後我們啟動DNS服務器,並且運行相應的規則腳本,我們的動態DNS服務器就
可以正常工作了。
可以正常工作了。