魏藍

1、簡述DNS服務器原理，并搭建主-輔服務器

omain name server,用于把域名與IP地址的互相映射。

當client訪問一個域名時，首先會查詢本機的hosts文件，若hosts文件沒有緩存該域名的ip地址，則會想local DNS服務器發(fā)起查詢。

local DNS服務器查詢緩存上是否有該域名對應的ip地址，若有則返回給client，若沒有則會向根服務器發(fā)起查詢，然后將結構返回給client，這是遞歸模式。

一般情況下本地DNS向其他DNS服務器查詢屬于迭代查詢，若對方無法返回權威結構，則他會向下一個（上級）DNS服務器發(fā)起查詢，直到查詢出結果。
搭建主-副服務器。

###服務安裝和基礎配置省略
#在/etc/named.conf中注釋掉listen ip、allow-query限制。

##主節(jié)點
#在/etc/named.conf中添加：安全
  allow-transfer {10.0.0.124};

##從節(jié)點配置：
#/etc/named.rfc1912.zones中添加
zone "magedu.org" IN {
	type slave;
	masters {10.0.0.121;};
	file "slaves/magedu.org.slave";
};
#在/etc/named.conf中添加：
  allow-transfer {none};

##重啟服務
rndc reload
systemctl restart named

##檢查RR是否同步成功
[root@localhost /var/named/slaves]#ll
total 4
-rw-r--r-- 1 named named 333 May 12 15:04 magedu.org.slave

##client的網(wǎng)卡配置中添加DNS1 DNS2

主DNS服務器修改RR后必須修改“ serial”，slave服務器才會同步，才認為有更新。
注意：master和slave，有的地方用單數(shù)，有的地方用復數(shù)。slave服務器named.rfc上配置為masters，RR文件夾/vat/named/slaves都為復數(shù)。

2、搭建并實現(xiàn)智能DNS

named.conf配置修改

添加acl,劃定網(wǎng)段、
注釋掉 zone “.”域，
添加view,view內指定named配置文件

復制新建各個view指定的named.rfc配置文件

修改named.rfc***文件,添加zone “.”和view的RR文件

修改RR文件，不同的地區(qū)對應不同的websrv地址

3、使用iptable實現(xiàn): 放行ssh,telnet, ftp, web服務80端口，其他端口服務全部拒絕

iptables -P INPUT -j DROP
iptables -t filter -A INPUT -p tcp -m multiport --dport 20:23,80 -j ACCEPT

4、NAT原理總結

NAT，network address translation，通過修改chain中的請求報文的源地址或目標地址，實現(xiàn)修改源地址或目標地址。

SNAT，當數(shù)據(jù)包流出NAT網(wǎng)關時，在POSTROUTING中將數(shù)據(jù)包中的源IP地址轉換為指定的（公網(wǎng)）IP。
DNAT，當數(shù)據(jù)包流入NAT網(wǎng)關時，在PREROUTING中，將數(shù)據(jù)包的目的IP修改為指定的IP地址。

5、iptables實現(xiàn)SNAT和DNAT，并對規(guī)則持久保存。

SNAT：基于nat表的target，適用于固定的公網(wǎng)IP

SNAT選項：
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random

格式：iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source
ExtIP

注意: 需要開啟 ip_forward

#vim /etc/sysctl.conf
net.ipv4.ip_forward=1
#sysctl -p

范例：iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! –d 10.0.0.0/24 -j SNAT --tosource 172.18.1.6-172.18.1.9

MASQUERADE：基于nat表的target，適用于動態(tài)的公網(wǎng)IP，如：撥號網(wǎng)絡

MASQUERADE選項：
--to-ports port[-port]
--random

格式：iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

范例：iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE

實現(xiàn)DNAT：

DNAT：nat表的target，適用于端口映射，即可重定向到本機，也可以支持重定向至不同主機的不同端口，但不支持多目標，即不支持負載均衡功能

DNAT選項：
--to-destination [ipaddr[-ipaddr]][:port[-port]]

DNAT 格式：iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

注意: 需要開啟 ip_forward

#vim /etc/sysctl.conf
net.ipv4.ip_forward=1
#sysctl -p

范例：iptables -t nat -A PREROUTING -d 192.168.0.8 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.7

持久保存規(guī)則：

CentOS7，8

iptables-save > /PATH/TO/SOME_RULES_FILE

加載規(guī)則：

CentOS 7，8 重新載入預存規(guī)則文件中規(guī)則：

iptables-restore < /PATH/FROM/SOME_RULES_FILE

開機自動重載規(guī)則：

用腳本保存各個iptables命令；讓此腳本開機后自動運行
/etc/rc.d/rc.local文件中添加腳本路徑 /PATH/TO/SOME_SCRIPT_FILE

用規(guī)則文件保存各個規(guī)則，開機時自動載入此規(guī)則文件中的規(guī)則
在/etc/rc.d/rc.local文件添加
iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE

#iptables-save > /data/iptables.rule
#vim /etc/rc.d/rc.local
iptables-restore < /data/iptables.rule #添加此內容
#chmod +x /etc/rc.d/rc.local