iptables应用之动态DNS

一. 核心思想

　　配置动态DNS服务器的核心思想是：在DNS服务器上运行多个BIND，每个BIND为来自不同区域的用户提供解析，因此每个BIND都应具有不同的配置文件和域文件，并且分别监听在不同的端口。在接到客户端DNS请求时，根据客户的ip地址将请求重定向不同的BIND服务端口。BIND响应时，再改写相应包的服务端口为标准的53端口。这样就可以根据客户端的ip地址将不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。实现的关键在于运行不同的BIND及运用iptables进行ip地址及端口改写操作。

二. 配置过程

　　步骤1： 配置内核

　　netfilter要求内核版本不低于2.3.5，在编译新内核时，要求选择和netfilter相关的项目。这些项目通常都是位于"Networking options"子项下。以2.4.0内核为例，我们应该选中的项目有：

　　[*] Kernel/User netlink socket
　　[ ] Routing messages
　　<*> Netlink device emulation
　　[*] Network packet filtering (replaces ipchains)
　　.......

　　然后，在"IP: Netfilter Configuration ---->"选中：

　　 Connection tracking (required for masq/NAT)
　　 FTP protocol support
　　 IP tables support (required for filtering/masq/NAT)
　　 limit match support
　　 MAC address match support
　　 Netfilter MARK match support
　　 Multiple port match support
　　 TOS match support
　　 Connection state match support
　　 Packet filtering
　　 REJECT target support
　　 Full NAT
　　 MASQUERADE target support
　　 REDIRECT target support
　　 Packet mangling
　　 TOS target support
　　 MARK target support
　　 LOG target support
　　 ipchains (2.2-style) support
　　 ipfwadm (2.0-style) support

　　其中最后两个项目可以不选，但是如果你比较怀念ipchains或者ipfwadm，你也可以将其选中，以便在2.4内核中使用ipchians或ipfwadm。但是需要注意的是，iptables是和ipchians/ipfwadm相对立的，在使用iptables的同时就不能同时使用ipchains/ipfwadm。编译成功后，这些模块文件都位于以下目录中
/lib/modules/2.4.0/kernel/net/ipv4/netfilter

　　编译2.4.0的新内核时还应该注意要在"Processor type and features"中选择和你的CPU相对应的正确的CPU选项，否则新内核可能无法正常工作。

　　步骤二、 配置BIND服务

　　缺省地，BIND服务监听在53端口，我们可以通过配置让BIND运行在不同的ip及端口上。实现这一点并不复杂，假设我们的DNS服务器的ip地址是211.163.76.1，并且我们想区分CERNET及非CERNET的客户，这时我们必须运行两个BIND，使用不同的配置文件。可以在使用非标准监听端口的BIND的配置文件中用listen-on指定BIND监听的端口，比如：

　　options {
　　listen-on port 54 {211.163.76.1;}
　　directory "/var/named_cernet";
　　};

　　可以用named的-c 选项指定named读入不同的配置文件，比如：

　　/usr/sbin/named -u named -c /etc/named_cernet.conf


　　步骤三、配置重定向规则

　　假设监听在标准端口的BIND服务器为非CERNET客户提供DNS解析，监听在54端口的BIND服务器为CERNET服务器提供DNS解析，我们可以建立如下的规则脚本：

　　#!/bin/bash

　　#打开端口转发

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　#加载相关的内核模块

　　/sbin/modprobe iptable_filter
　　/sbin/modprobe ip_tables
　　/sbin/modprobe iptables_nat

　　#刷新所有规则

　　/sbin/iptables -t nat -F

　　#加入来自CERNET的DNS请求转发规则，将其转发到本地54端口，CERNET地址列表可从www.nic.edu.cn/RS/ipstat/获得

/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54
…

　　#将返回给CERNET DNS客户数据包的源端口(54端口)伪装成53端口

　　/sbin/iptables -t nat -A POSTROUTING -p udp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53
　　/sbin/iptables -t nat -A POSTROUTING -p tcp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53

　　教育网网的朋友可以从这里下载该脚本，将脚本中的DNS_IP及CNET_PORT参数改成你自己的DNS服务器地址及监听端口即可。

　　步骤四、运行动态DNS

　　配置完成后我们启动DNS服务器，并且运行相应的规则脚本，我们的动态DNS服务器就可以正常工作了。

原文转自：http://www.ltesting.net