摘要
本文介绍了使用iptables配置动态DNS服务器的配置过程。(2002-06-24 12:37:53)
------------------------------------------------------------------------------
--
By 处处
1.核心思想
配置动态DNS服务器的核心思想是:在DNS服务器上运行多个BIND,每个BIND为来自不
同区域的用户提供解析,因此每个BIND都应具有不同的配置文件和域文件,并且分别监听
在不同的端口。在接到客户端DNS请求时,根据客户的ip地址将请求重定向不同的BIND服务
端口。BIND响应时,再改写相应包的服务端口为标准的53端口。这样就可以根据客户端的
ip地址将不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。实现的关
键在于运行不同的BIND及运用iptables进行ip地址及端口改写操作。
关于iptables更为详细的信息,请参考解决方案中作者的两篇文章——《用iptales实
现包过虑型防火墙》及《用iptables实现NAT》。
2.配置过程
2.1.配置内核
netfilter要求内核版本不低于2.3.5,在编译新内核时,要求选择和netfilter相关的
项目。这些项目通常都是位于"Networking options"子项下。以2.4.0内核为例,我们应该
选中的项目有:
[*] Kernel/User netlink socket
[ ] Routing messages
<*> Netlink device emulation
[*] Network packet filtering (replaces ipchains)
.......
然后,在"IP: Netfilter Configuration ---->"选中:
<M> Connection tracking (required for masq/NAT)
<M> FTP protocol support
<M> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC address match support
<M> Netfilter MARK match support
<M> Multiple port match support
<M> TOS match support
<M> Connection state match support
<M> Packet filtering
<M> REJECT target support
<M> Full NAT
<M> MASQUERADE target support
<M> REDIRECT target support
<M> Packet mangling
<M> TOS target support
<M> MARK target support
<M> LOG target support
<M> ipchains (2.2-style) support
<M> ipfwadm (2.0-style) support
其中最后两个项目可以不选,但是如果你比较怀念ipchains或者ipfwadm,你也可以将
其选中,以便在2.4内核中使用ipchians或ipfwadm。但是需要注意的是,iptables是和ip
chians/ipfwadm相对立的,在使用iptables的同时就不能同时使用ipchains/ipfwadm。编
译成功后,这些模块文件都位于以下目录中
/lib/modules/2.4.0/kernel/net/ipv4/netfilter
编译2.4.0的新内核时还应该注意要在"Processor type and features"中选择和你的
CPU相对应的正确的CPU选项,否则新内核可能无法正常工作。
2.2.配置BIND服务
缺省地,BIND服务监听在53端口,我们可以通过配置让BIND运行在不同的ip及端口上
。实现这一点并不复杂,假设我们的DNS服务器的ip地址是211.163.76.1,并且我们想区分
CERNET及非CERNET的客户,这时我们必须运行两个BIND,使用不同的配置文件。可以在使
用非标准监听端口的BIND的配置文件中用listen-on指定BIND监听的端口,比如:
options {
listen-on port 54 {211.163.76.1;}
directory "/var/named_cernet";
};
可以用named的-c 选项指定named读入不同的配置文件,比如:
/usr/sbin/named -u named -c /etc/named_cernet.conf
2.3.配置重定向规则
假设监听在标准端口的BIND服务器为非CERNET客户提供DNS解析,监听在54端口的BIN
D服务器为CERNET服务器提供DNS解析,我们可以建立如下的规则脚本:
#!/bin/bash
#打开端口转发
echo 1 > /proc/sys/net/ipv4/ip_forward
#加载相关的内核模块
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptables_nat
#刷新所有规则
/sbin/iptables -t nat -F
#加入来自CERNET的DNS请求转发规则,将其转发到本地54端口,
#CERNET地址列表可从www.nic.edu.cn/RS/ipstat/获得
/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15
--dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15
--dport 53 -i eth0 -j REDIRECT 54
…
#将返回给CERNET DNS客户数据包的源端口(54端口)伪装成53端口
/sbin/iptables -t nat -A POSTROUTING -p udp
--sport 54 -o eth0 -j SNAT --to 211.163.76.1:53
/sbin/iptables -t nat -A POSTROUTING -p tcp
--sport 54 -o eth0 -j SNAT --to 211.163.76.1:53
教育网网的朋友可以从这里这里下载该脚本,将脚本中的DNS_IP及CNET_PORT参数改成
你自己的DNS服务器地址及监听端口即可。
2.4.运行动态DNS
配置完成后我们启动DNS服务器,并且运行相应的规则脚本,我们的动态DNS服务器就
可以正常工作了。