DNS服务和iptables 防火墙

1、简述DNS服务器原理，并搭建主-辅服务器。

  DNS：Domain Name System 域名管理，应用层协议是互联网的一项服务。它作为域名和IP地址相互映射的一个分布式数据库，能够是人更方便的访问互联网，基于C/S架构。服务器端:53/UDP,53/TCP

  BIND: 由ISC提供的DNS软件实现DNS域名结构.

  根域：全球根服务器节点只有13个，10个在美国

  一级域名:TOP Level Domain:Tld

  用户使用浏览器访问网址的解析过程:

  1. 客户访问时，先查本地主机的hosts文件，有则返回.

  2. 本地的hosts中么有就去查询本地缓存，有则返回。

  3. 本地缓存没有就去查找dns服务器.

  4. dns服务器先找根服务器获取顶级域名服务器地址.

  5. 去找顶级域名获得二级域名服务器地址.

  6. 从二级域名服务器获取最终的IP地址.

  7. 客户端从dns服务器获取地址.

  MX:邮件交换器

  cname：别名记录

  NS：域名服务记录

 

 

2、搭建并实现智能DNS。

 

 

3、使用iptable实现: 放行ssh,telnet, ftp, web服务80端口，其他端口服务全部拒绝

 iptables -A INPUT -p tcp -m multiport --dport 21,23,22,139,445 -j ACCEPT

iptables -A INPUT -j REJECT

 

 

 

 

3、NAT原理总结

  公有IP地址:全局地址，是指合法的IP地址，是有NIC网络信息中次年或者网络服务提供商分配的地址，对外具有一个或者多个内部局部地址，在全球统一的可寻址地址.

  私有IP地址:内部地址，专门为组织机构内部使用。

10.0.0.0---10.255.255.255

172.16.0.0---172.16.255.255

192.168.0.0----192.168.255.255

   NAT:NETwork Address Translation，网络地址传输协议，是一种把内部私有网络地址翻译成合法网络IP地址的技术，NAT 在一定程度上，能够有效解决公网地址不足的问题。

   有三种类型：静态nat，动态nat，网络地址端口转换NAPT

  

 

4、iptables实现SNAT和DNAT，并对规则持久保存。

 

 POSTROUTING 是源地址转换（SNAT），把内网网络上受防火墙保护的IP地址转换为本地的公网地址才能上网。

 PREROUTING 是目的地址转换（DNAT)，把公网IP地址换成内部的ip地址，才能访问到你们内部受防火墙保护的服务器。

 

SNAT:实现内网访问外网，修改ip地址，使用POSTROUTING （源地址转换）

 iptables -t nat -A POSTROUTING -s 192.168.1.10/24 -j SNAT --to-source 202.13.1.1

  

DNAT: 目标地址转换

  实现发布公司内部服务器，修改目标地址，使用PREROUTING  （目标地址转换）

  iptables  -t nat  -A  PREROUTING -d  202.1.1.1  -p tcp  --dport  8080 -j  DNAT  --to 192.168.1.100:80