本文深入探讨了配置动态DNS服务器的核心思想,包括如何在DNS服务器上运行多个bind,实现不同区域的解析服务,并通过iptables进行IP地址及端口改写。详细介绍了内核配置、bind服务配置、重定向规则的建立以及动态DNS的运行步骤。
1.核心思想
配置动态dns服务器的核心思想是:在dns服务器上运行多个bind,每个bind为来自不同区域的用户提供解析,因此每个bind都应具有不同的配置文件和域文件,并且分别监听在不同的端口。在接到客户端dns请求时,根据客户的ip地址将请求重定向不同的bind服务端口。bind响应时,再改写相应包的服务端口为标准的53端口。这样就可以根据客户端的ip地址将不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。实现的关键在于运行不同的bind及运用iptables进行ip地址及端口改写操作。
关于iptables更为详细的信息,请参考解决方案中作者的两篇文章——《用iptales实现包过虑型防火墙》及《用iptables实现nat》。
2.配置过程
2.1.配置内核
netfilter要求内核版本不低于2.3.5,在编译新内核时,要求选择和netfilter相关的项目。这些项目通常都是位于"networkingoptions"子项下。以2.4.0内核为例,我们应该选中的项目有:
[*]kernel/usernetlinksocket
[]routingmessages
<*>netlinkdeviceemulation
[*]networkpacketfiltering(replacesipchains)
.......
然后,在"ip:netfilterconfiguration---->"选中:
<m>connectiontracking(requiredformasq/nat)
<m>ftpprotocolsupport
<m>iptablessupport(requiredforfiltering/masq/nat)
<m>limitmatchsupport
<m>macaddressmatchsupport
<m>netfiltermarkmatchsupport
<m>multipleportmatchsupport
<m>tosmatchsupport
<m>connectionstatematchsupport
<m>packetfiltering
<m>rejecttargetsupport
<m>fullnat
<m>masqueradetargetsupport
<m>redirecttargetsupport
<m>packetmangling
<m>tostargetsupport
<m>marktargetsupport
<m>logtargetsupport
<m>ipchains(2.2-style)support
<m>ipfwadm(2.0-style)support
其中最后两个项目可以不选,但是如果你比较怀念ipchains或者ipfwadm,你也可以将其选中,以便在2.4内核中使用ipchians或ipfwadm。但是需要注意的是,iptables是和ipchians/ipfwadm相对立的,在使用iptables的同时就不能同时使用ipchains/ipfwadm。编译成功后,这些模块文件都位于以下目录中
/lib/modules/2.4.0/kernel/net/ipv4/netfilter
编译2.4.0的新内核时还应该注意要在"processortypeandfeatures"中选择和你的cpu相对应的正确的cpu选项,否则新内核可能无法正常工作。
2.2.配置bind服务
缺省地,bind服务监听在53端口,我们可以通过配置让bind运行在不同的ip及端口上。实现这一点并不复杂,假设我们的dns服务器的ip地址是211.163.76.1,并且我们想区分cernet及非cernet的客户,这时我们必须运行两个bind,使用不同的配置文件。可以在使用非标准监听端口的bind的配置文件中用listen-on指定bind监听的端口,比如:
options{
listen-onport54{211.163.76.1;}
directory"/var/named_cernet";
};
可以用named的-c选项指定named读入不同的配置文件,比如:
/usr/sbin/named-unamed-c/etc/named_cernet.conf
2.3.配置重定向规则
假设监听在标准端口的bind服务器为非cernet客户提供dns解析,监听在54端口的bind服务器为cernet服务器提供dns解析,我们可以建立如下的规则脚本:
#!/bin/bash
#打开端口转发
echo1>/proc/sys/net/ipv4/ip_forward
#加载相关的内核模块
/sbin/modprobeiptable_filter
/sbin/modprobeip_tables
/sbin/modprobeiptables_nat
#刷新所有规则
/sbin/iptables-tnat-f
#加入来自cernet的dns请求转发规则,将其转发到本地54端口,
#cernet地址列表可从www.nic.edu.cn/rs/ipstat/获得
/sbin/iptables-tnat-aprerouting-pudp-s163.105.0.0/16
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-ptcp-s163.105.0.0/16
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-pudp-s166.111.0.0/16
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-ptcp-s166.111.0.0/16
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-pudp-s202.4.128.0/19
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-ptcp-s202.4.128.0/19
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-pudp-s202.112.0.0/15
--dport53-ieth0-jredirect54
/sbin/iptables-tnat-aprerouting-ptcp-s202.112.0.0/15
--dport53-ieth0-jredirect54
…
#将返回给cernetdns客户数据包的源端口(54端口)伪装成53端口
/sbin/iptables-tnat-apostrouting-pudp
--sport54-oeth0-jsnat--to211.163.76.1:53
/sbin/iptables-tnat-apostrouting-ptcp
--sport54-oeth0-jsnat--to211.163.76.1:53
教育网网的朋友可以从这里这里下载该脚本,将脚本中的dns_ip及cnet_port参数改成你自己的dns服务器地址及监听端口即可。
2.4.运行动态dns
配置完成后我们启动dns服务器,并且运行相应的规则脚本,我们的动态dns服务器就可以正常工作了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
