在防火牆環境下DNS的安裝與設置

　　在防火牆環境下DNS的安裝與設置 天天　hutc.zj.cn [email protected] 文章可以轉載，但一定要保留我的MAIL 經過幾天的研究BIND，終於解決了我們單位的DNS問題。 在一般防火牆下，都是采用DMZ區內放服務器，外部訪問DMZ區得到外部的IP，內部訪問DMZ區時得到內部的IP。 如一個， 內部IP地址＜－－－＞放在DMZ的web服務器的IP＜－－－－－＞外部IP地址 192.168.1.1＜－－－＞192.168.0.1＜－－－－－＞211.202.49.1 從DNS上可以從以下四個方面解決： 一.iptables應用 1. 核心思想 　　配置動態DNS服務器的核心思想是：在DNS服務器上運行多個BIND，每個BIND為來自不同區域的用戶提供解析，因此每個BIND都應具有不同的配置文件和域文件，並且分別監聽在不同的端口。在接到客戶端DNS請求時，根據客戶的ip地址將請求重定向不同的BIND服務端口。BIND響應時，再改寫相應包的服務端口為標准的53端口。這樣就可以根據客戶端的ip地址將不同的解析結果返回給客戶端。整個過程對於客戶端來說都是透明的。實現的關鍵在於運行不同的BIND及運用iptables進行ip地址及端口改寫操作。 2 配置過程 　　步驟1： 配置內核 　　netfilter要求內核版本不低於2.3.5，在編譯新內核時，要求選擇和netfilter相關的項目。這些項目通常都是位於"Networking options"子項下。以2.4.0內核為例，我們應該選中的項目有： 　　[*] Kernel/User netlink socket 　　[ ] Routing messages 　　<*> Netlink device emulation 　　[*] Network packet filtering (replaces ipchains) 　　....... 　　然後，在"IP: Netfilter Configuration ---->"選中： 　　 Connection tracking (required for masq/NAT) 　　 FTP protocol support 　　 IP tables support (required for filtering/masq/NAT) 　　 limit match support 　　 MAC address match support 　　 Netfilter MARK match support 　　 Multiple port match support 　　 TOS match support 　　 Connection state match support 　　 Packet filtering 　　 REJECT target support 　　 Full NAT 　　 MASQUERADE target support 　　 REDIRECT target support 　　 Packet mangling 　　 TOS target support 　　 MARK target support 　　 LOG target support 　　 ipchains (2.2-style) support 　　 ipfwadm (2.0-style) support 　　其中最後兩個項目可以不選，但是如果你比較懷念ipchains或者ipfwadm，你也可以將其選中，以便在2.4內核中使用ipchians或 ipfwadm。但是需要注意的是，iptables是和ipchians/ipfwadm相對立的，在使用iptables的同時就不能同時使用 ipchains/ipfwadm。編譯成功後，這些模塊文件都位於以下目錄中 /lib/modules/2.4.0/kernel/net/ipv4/netfilter 　　編譯2.4.0的新內核時還應該注意要在"Processor type and features"中選擇和你的CPU相對應的正確的CPU選項，否則新內核可能無法正常工作。 　　步驟二、 配置BIND服務 　　缺省地，BIND服務監聽在53端口，我們可以通過配置讓BIND運行在不同的ip及端口上。實現這一點並不復雜，假設我們的DNS服務器的 ip地址是211.163.76.1，並且我們想區分CERNET及非CERNET的客戶，這時我們必須運行兩個BIND，使用不同的配置文件。可以在使用非標准監聽端口的BIND的配置文件中用listen-on指定BIND監聽的端口，比如： 　　options { 　　listen-on port 54 {211.163.76.1;} 　　Directory "/var/named_cernet"; 　　}; 　　可以用named的-c 選項指定named讀入不同的配置文件，比如： 　　/usr/sbin/named -u named -c /etc/named_cernet.conf 　　


3、配置重定向規則 　　假設監聽在標准端口的BIND服務器為非CERNET客戶提供DNS解析，監聽在54端口的BIND服務器為CERNET服務器提供DNS解析，我們可以建立如下的規則腳本： 　　#!/bin/bash 　　#打開端口轉發 　　echo 1 > /proc/sys/net/ipv4/ip_forward 　　#加載相關的內核模塊 　　/sbin/modprobe iptable_filter 　　/sbin/modprobe ip_tables 　　/sbin/modprobe iptables_nat 　　#刷新所有規則 　　/sbin/iptables -t nat -F 　　#加入來自CERNET的DNS請求轉發規則，將其轉發到本地54端口，CERNET地址列表可從www.nic.edu.cn/RS/ipstat/獲得 /sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54 /sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54 … 　　#將返回給CERNET DNS客戶數據包的源端口(54端口)偽裝成53端口 　　/sbin/iptables -t nat -A POSTROUTING -p udp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53 　　/sbin/iptables -t nat -A POSTROUTING -p tcp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53 　　教育網網的朋友可以從這裡下載該腳本，將腳本中的DNS_IP及CNET_PORT參數改成你自己的DNS服務器地址及監聽端口即可。 4、運行動態DNS 　　配置完成後我們啟動DNS服務器，並且運行相應的規則腳本，我們的動態DNS服務器就可以正常工作了。 二。利用bind9的cache紀錄 　　1)、用戶向浏覽器提供要訪問的域名； 　　2)、浏覽器調用域名解析庫對域名進行解析，由於CDN對域名解析過程進行了調整， 　　　　所以解析函數庫一般得到的是該域名對應的CNAME記錄，為了得到實際IP地址， 　　　浏覽器需要再次對獲得的CNAME域名進行解析以得到實際的IP地址；在此過程中， 　　　使用的全局負載均衡DNS解析，如根據地理位置信息解析對應的IP地址，使得用戶能就近訪問。 　　3)、此次解析得到CDN緩存服務器的IP地址，浏覽器在得到實際的IP地址以後， 　　　向緩存服務器發出訪問請求； 　　4)、緩存服務器根據浏覽器提供的要訪問的域名，通過Cache內部專用DNS解析 　　　得到此域名的實際IP地址，再由緩存服務器向此實際IP地址提交訪問請求； 　　5)、緩存服務器從實際IP地址得得到內容以後，一方面在本地進行保存， 　　　　　以備以後使用，二方面把獲取的數據返回給客戶端，完成數據服務過程； 　　6)、客戶端得到由緩存服務器返回的數據以後顯示出來並完成整個浏覽的數據請求過程。 　　　1、要加入CDN服務的網站，需要域名(如www.Linuxaid.com.cn,地址202.99.11.120)解析權提供給CDN 運營商，Linuxaid的域名解析記錄只要把www主機的A記錄改為CNAME並指向cache.cdn.com即可。cache.cdn.com是 CDN網絡自定義的緩存服務器的標識。在/var/named/linuxaid.com.cn域名解析記錄中，由：

www IN A 202.99.11.120 改為 www IN CNAME cache.cdn.com. 　　2、CDN運營商得到域名解析權以後，得到域名的CNAME記錄，指向CDN網絡屬下緩存服務器的域名，如cache.cdn.com，CDN網絡的全局負載均衡DNS，需要把CNAME記錄根據策略解析出IP地址，一般是給出就近訪問的Cache地址。 　　Bind 9的基本功能可以根據不同的源IP地址段解析對應的IP，實現根據地域就近訪問的負載均衡，一般可以通過Bind 9的sortlist選項實現根據用戶端IP地址返回最近的節點IP地址，具體的過程為： 　　1)為cache.cdn.com設置多個A記錄，/var/named/cdn.com 的內容如下： $TTL 3600 @ IN SOA ns.cdn.com. root.ns.cdn.com. ( 2002090201 ;Serial num 10800 ;Refresh after 3 hours 3600 ;Retry 604800 ;EXPire 1800 ;Time to live ) IN NS ns www IN A 210.33.21.168 ns IN A 202.96.128.68 cache IN A 202.93.22.13 ;有多少個CACHE地址 cache IN A 210.21.30.90 ;就有多少個CACHE的A記錄 cache IN A 211.99.13.47 　　2) /etc/named.conf中的內容為： options { directory "/var/named"; sortlist { 　#這一段表示當在本地執行查詢時 　　#將按照202.93.22.13,210.21.30.90,211.99.13.47的順序返回地址 { localhost; { localnets; 202.93.22.13; { 210.21.30.90; 211.99.13.47; }; }; }; #這一段表示當在202/8地址段進行DNS查詢時 #將按照202.93.22.13,210.21.30.90,211.99.13.47的順序返回地址 { 202/8; { 202.93.22.13; { 210.21.30.90; 211.99.13.47; }; }; }; #這一段表示當在211/8地址段進行DNS查詢時 #將按照211.99.13.47,202.93.22.13,210.21.30.90的順序返回地址， #也就是211.99.13.47是最靠近查詢地點的節點 { 211/8; { 211.99.13.47; { 202.93.22.13; 210.21.30.90; }; }; }; { 61/8; { 202.93.22.13; { 210.21.30.90; 211.99.13.47; }; }; }; }; }; 　　zone "." { 　 type hint; 　　 file "root.cache"; 　　}; 　　zone "localhost" { 　 type master; 　 file "localhost"; 　　}; 　　zone "cdn.com" { 　 　 type master; 　 file "cdn.com"; 　　}; 三。設內外DNS 　外部DNS就是一般的設置，關鍵在於內部的DNS的設置上 ## named.conf - configuration for bind # # Generated automatically by redhat-config-bind, alchemist et al. # Any changes not supported by redhat-config-bind should be put # in /etc/named.custom # controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; include "/etc/named.custom"; include "/etc/rndc.key"; options { directory "/var/named/"; forwarders { 192.168.22.9; };　　//轉向到外部的DNS }; zone "0.0.127.in-addr.arpa" { type master; file "0.0.127.in-addr.arpa.zone"; }; zone "22.168.192.in-addr.arpa" { type master; file "22.168.192.in-addr.arpa.zone"; };

zone "7.20.172.in-addr.arpa" { type master; file "7.20.172.in-addr.arpa.zone"; }; zone "localhost" { type master; file "localhost.zone"; }; zone "hutc.zj.cn" { type master; file "hutc.zj.cn.zone"; forwarders { };　　//除了內部的本域解析，其余都放到外部的DNS上 }; 四。利用bind9的view功能 options { directory "/var/named"; }; acl "fx_subnet" {192.253.254/24; }; view "internal" { //我們區的內部視圖 match-clients { "fx-subnet"; }; zone "fx.movie.edu" { type master; file 'db.fx.moive.edu"; }; zone "254.253.192.in-addr.arpa" { type master; file "db.192.253.254"; }; }; view "external" { //相應於世界的其余部分，我們區的視圖 match-clients { any; }; //隱式地 rescursion no; //我們的子網外面，它們不應該請求遞歸查詢 　zone "fx.movie.edu" { type master; file "db.fx.movie.edu.external"; //外部區數據文件 }; zone "254.254.192.in.arpa" { type master; file "db.192.253.254.external";//外部區數據文件 }; }; 總結：方法一：過於復雜，並且不能解決MX紀錄的問題 　　　方法二：實際上用別的思想來解決內外DNS解析的問題 　　　方法三：實際已經運用過，還可以用ACL來做進一步的限制，就是和方法四比較起來，機器用的多了一點 　　　方法四：感覺最好了。

　　　方法二：實際上用別的思想來解決內外DNS解析的問題 　　　方法三：實際已經運用過，還可以用ACL來做進一步的限制，就是和方法四比較起來，機器用的多了一點 　　　方法四：感覺最好了。