iptables防火牆應用之動態DNS

　　一、核心思想

　　配置動態DNS伺服器的核心思想是：在DNS伺服器上運行多個BIND，每個BIND為來自不同地區的使用者提供解析，因此每個BIND都應具有不同的設定檔和域檔案，並且分別監聽在不同的連接埠。在接到用戶端DNS請求時，根據客戶的ip地址將請求重新導向不同的BIND服務連接埠。

　　BIND響應時，再改寫相應包的服務連接埠為標準的53連接埠。這樣就可以根據用戶端的ip地址將不同的解析結果返回給用戶端。整個過程對於用戶端來說都是透明的。實現的關鍵在於運行不同的BIND及運用iptables進行ip地址及連接埠改寫操作。

　　關於iptables更為詳細的資訊，請參考解決方案中作者的兩篇文章——《用iptales實現包過慮型防火牆》及《用iptables實現NAT》。

　　二、配置過程

　　步驟1： 配置核心

　　netfilter要求核心版本不低於2.3.5，在編譯新核心時，要求選擇和netfilter相關的項目。這些項目通常都是位於"Networking options"子項下。以2.4.0核心為例，我們應該選中的項目有：

　　[*] Kernel/User netlink socket ! ;

　　[ ] Routing messages

　　<*> Netlink device emulation

　　[*] Network packet filtering (replaces ipchains)

　　.......

　　然後，在"IP: Netfilter Configuration ---->"選中：

　　Connection tracking (required for masq/NAT)

　　FTP protocol support

　　IP tables support (required for filtering/masq/NAT)

　　limit match support

　　MAC address match support

　　Netfilter MARK match support

　　Multiple port match support

　　TOS match support

　　Connection state match support

　　Packet filtering

　　&! nbsp; REJECT target support

　　Fu ll NAT

　　MASQUERADE target support

　　REDIRECT target support

　　Packet mangling

　　TOS target support

　　MARK target support

　　LOG target support

　　ipchains (2.2-style) support

　　ipfwadm (2.0-style) support

　　其中最後兩個項目可以不選，但是如果你比較懷念ipchains或者ipfwadm，你也可以將其選中，以便在2.4核心中使用ipchians或ipfwadm。但是需要注意的是，iptables是和ipchians/ipfwadm相對立的，在使用iptables的同時就不能同時使ipchains/ipfwadm。

　　編譯成功後，這些模組檔案都位於以下目錄中/lib/modules/2.4.0/kernel/net/ipv4/netfilter