外网到内网的叫 DNAT
内网到外网的叫 SNAT (MASQUDRAD)地址是动态的。
NAPT
INBOUD:外网来访问我们80端口的服务。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.0.20
OUTBOUND:内网去访问公网某台服务器80端口的服务,转向我们内网。可以转向代理。
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.0.200:3128
MASQUERADE:
iptables -t nat -A POSTROUTING -o eth0 eth0 -j MASQUERADE
SNAT:
iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.4
1\stationx (IP Forward)
2\网关 10.100.1.254
3\iptables -t nat -A POSTROUTING -s 10.100.0.0/16 -j MASQUERADE
实验:
企业里的IP,要8个16个。
做防火墙的策略:
1\ cp iptables iptables-lng
2\ vim iptables
3\ echo "mv /etc/sysconfig/iptables-lng /etc/sysconfig/iptables && service iptables retart"|at now+5min
4\ service iptables restart 3、4两者只有一个生效
5\ atq
6\ atrm 1
7\ rm -f iptables-lng
分层式结构设计:每台DNS只管理它自己的域。
在网络中,很多故障都是由DNS引起的。特别是邮件服务器。
做集群还是要用/etc/hosts文件,因为hosts文件的查询的速度快。
如果DNS做集群呢?可能DNS就不能解析了。集群就切换不过来了。所以/etc/hosts还是很有用的。
DNS:日本有一台 挪威有一台 其它的在美国
递归查询:
迭代查询又叫反复查询:
host 读search这一行 都不读/etc/hosts文件。但应用程序都先读/etc/hosts文件
dig 不读serch这一行
查看是否支持TCP_wrapper
ldd `which named` |grep libwrap
strings `which named` |grep hosts
vim /etc/sysconfig/named
ROOTDIR=/var/named/chroot
chgrp named named.conf
pda 掌上电脑
配置文件:
acl "hubei" { 192.168.0.0/24; };
options {
listen-on port { 127.0.0.1;192.168.0.15; }; //表示DNS侦听在那个网卡。
listen-on-v6 port 53 { ::1:};
directory "/var/named"; //指定DNS的数据库放在那里,相对于/var/named/chroot/
dump-file "/var/named/data/named/cache_dump.db"; //DNS的缓存数据库文件
statistics-file "/var/named/data/named_stats.txt"; //谁来查询了的统计
memstaticstics-file "/var/named/data/namd_mem_stats.txt"; //内存信息
query-source port 53; 客户端向我查询我没有,我用53号端口向根查询
query-source-v6 port 53;
allow-query { alocalhost; }; 谁可以来向我查询 是一个总开关 拒绝优先
};
logging {
channel default_debug {
file "data/namd.run"; 把debug的信息放到namd.run下面去,更加详细。
severity dynamic;
};
};
view localhost_resolver { //视图的名字
match-clients { 192.168.0.0/24; }; 来自192.168.0.0/24的用户
match-destinations { any; }; 匹配所有 去目的地去向 到下面这个文件去查询
recursion yes; 是否允许递归查询
include "/etc/named.rfc1912.zones";
};
1、/etc/named.conf 全局配置文件
2、/etc/named.rfc1912.zones 定义zone
zone: 区域
一个正解/反解都称为一个zone
zone "." IN {
type hint;
file "named.ca";
};
zone "localdomain" IN {
type master;
file "localdomain.zone";
allow-update { none; };
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN { //172.16.0.0/16 "16.172.in-addr.arpa"
type master;
file "named.local";
allow-update { none; };
};
$TTL 86400
@ IN SOA ns.google.com. root.google.com. (
2009080401 ; serial (d.adams)
3H ; refresh
15M ; retry
1W ; expiry
1D) ; minimum
IN NS ns.google.com. 网络上有几台NS记录,就要写几台。是用来作子域委派的。
cn.google.com. IN NS host.cn.google.com.
google.com. IN A 192.168.0.36
ns IN A 192.168.0.36
www IN A 192.168.0.37
mail IN A 192.168.0.38
@ 代表解析的域
SOA 起始资源记录
反解中如果是172.16.0.15/16这样写:
15.0 IN PTR ns.google.com
iptables -A OUTPUT -s 192.168.0.15 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -d 192.168.0.15 -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.15 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s 192.168.0.15 -p tcp --dport 53 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
netstat -tu |grep 53
阅读(888) | 评论(0) | 转发(0) |
