netfilter有没有DNS的修补功能？

Question

但内网用户要通过域名访问内网的服务器时，我们希望外部dns解析返回内网地址。在PIX上可以通过alias来解决。不知在iptables下有没有类似的功能？

Answer 1

up

Answer 2

DNS的nat好象只听说cisco 的 firewall/router上可以. 别的还不知道.

不过, 你可以自己建一个 dns server这样不就行了.

Answer 3

原帖由 "q1208c" 发表：
DNS的nat好象只听说cisco 的 firewall/router上可以. 别的还不知道.

不过, 你可以自己建一个 dns server这样不就行了.

我以前是这样做的，现在只是想看看有没有更好的方法。

Answer 4

用类似于透明代理的方法解决了。

Answer 5

[quote]原帖由 "lyking"]用类似于透明代理的方法解决了。[/quote 发表：

能不能讲一下?

Answer 6

1.在Linux网关开启DNS服务，DNS中服务器的配置指到私网地址，不要忘记同时要配置DNS缓存服务。
2.加入iptables规则(假设10.0.0.1为内部网卡IP）
iptables -t nat -A PREROUTING -s 10.0.0.0/8 --dport 53 -j DNAT --to 10.0.0.1:53
iptables -A INPUT -s 10.0.0.0/8 -d 10.0.0.1/32 --dport 53 -j ACCEPT

Answer 7

测试结果：

1. [root@IntSV root]# dig @1.1.1.1 intsv.yngmcc.com
3. ; <<>;>; DiG 9.2.2 <<>;>; @1.1.1.1 intsv.yngmcc.com
4. ;; global options:  printcmd
5. ;; Got answer:
6. ;; ->;>;HEADER<<- opcode: QUERY, status: NOERROR, id: 22323
7. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
9. ;; QUESTION SECTION:
10. ;intsv.yngmcc.com.              IN      A
12. ;; ANSWER SECTION:
13. intsv.yngmcc.com.       3600    IN      A       10.0.0.251
15. ;; AUTHORITY SECTION:
16. yngmcc.com.             3600    IN      NS      ns1.yngmcc.com.
18. ;; Query time: 4 msec
19. ;; SERVER: 1.1.1.1#53(1.1.1.1)
20. ;; WHEN: Wed Nov 24 12:45:12 2004
21. ;; MSG SIZE  rcvd: 68
24. [root@IntSV root]# dig @1.2.3.4 www.yn.cn
26. ; <<>;>; DiG 9.2.2 <<>;>; @1.2.3.4 www.yn.cn
27. ;; global options:  printcmd
28. ;; Got answer:
29. ;; ->;>;HEADER<<- opcode: QUERY, status: NOERROR, id: 27847
30. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
32. ;; QUESTION SECTION:
33. ;www.yn.cn.                     IN      A
35. ;; ANSWER SECTION:
36. www.yn.cn.              3380    IN      A       61.166.155.109
38. ;; AUTHORITY SECTION:
39. www.yn.cn.              3380    IN      NS      ns.www.yn.cn.
41. ;; Query time: 1 msec
42. ;; SERVER: 1.2.3.4#53(1.2.3.4)
43. ;; WHEN: Wed Nov 24 12:45:47 2004
44. ;; MSG SIZE  rcvd: 60

复制代码