在一般防火墻下，都是采用DMZ區(qū)內(nèi)放服務(wù)器，外部訪問DMZ區(qū)得到外部的IP，內(nèi)部訪問DMZ區(qū)時(shí)得到內(nèi)部的IP。

如一個(gè)， 內(nèi)部IP地址<--->放在DMZ的web服務(wù)器的IP<----->外部IP地址 192.168.1.1<--->192.168.0.1<----->211.202.49.1 從DNS上可以從以下四個(gè)方面解決：

一、iptables應(yīng)用

1、 核心思想

配置動(dòng)態(tài)DNS服務(wù)器的核心思想是：在DNS服務(wù)器上運(yùn)行多個(gè)BIND，每個(gè)BIND為來自不同區(qū)域的用戶提供解析，因此每個(gè)BIND都應(yīng)具有不同的配置文件和域文件，并且分別監(jiān)聽在不同的端口。在接到客戶端DNS請(qǐng)求時(shí)，根據(jù)客戶的ip地址將請(qǐng)求重定向不同的BIND服務(wù)端口。BIND響應(yīng)時(shí)，再改寫相應(yīng)包的服務(wù)端口為標(biāo)準(zhǔn)的53端口。這樣就可以根據(jù)客戶端的ip地址將不同的解析結(jié)果返回給客戶端。整個(gè)過程對(duì)于客戶端來說都是透明的。實(shí)現(xiàn)的關(guān)鍵在于運(yùn)行不同的BIND及運(yùn)用iptables進(jìn)行ip地址及端口改寫操作。

2、配置過程

步驟1： 配置內(nèi)核

netfilter要求內(nèi)核版本不低于2.3.5，在編譯新內(nèi)核時(shí)，要求選擇和netfilter相關(guān)的項(xiàng)目。這些項(xiàng)目通常都是位于"Networking options"子項(xiàng)下。以2.4.0內(nèi)核為例，我們應(yīng)該選中的項(xiàng)目有：

[*] Kernel/User netlink socket

[ ] Routing messages

<*> Netlink device emulation

[*] Network packet filtering (replaces ipchains)

.......

然后，在"IP: Netfilter Configuration ---->"選中：

Connection tracking (required for masq/NAT)

FTP protocol support

IP tables support (required for filtering/masq/NAT)

limit match support

MAC address match support

Netfilter MARK match support

Multiple port match support

TOS match support

Connection state match support

Packet filtering

REJECT target support

Full NAT

MASQUERADE target support

REDIRECT target support

Packet mangling

TOS target support

MARK target support

LOG target support

ipchains (2.2-style) support

ipfwadm (2.0-style) support

其中最后兩個(gè)項(xiàng)目可以不選，但是如果你比較懷念ipchains或者ipfwadm，你也可以將其選中，以便在2.4內(nèi)核中使用ipchians或ipfwadm。但是需要注意的是，iptables是和ipchians/ipfwadm相對(duì)立的，在使用iptables的同時(shí)就不能同時(shí)使用ipchains/ipfwadm。編譯成功后，這些模塊文件都位于以下目錄中

/lib/modules/2.4.0/kernel/net/ipv4/netfilter

編譯2.4.0的新內(nèi)核時(shí)還應(yīng)該注意要在"Processor type and features"中選擇和你的CPU相對(duì)應(yīng)的正確的CPU選項(xiàng)，否則新內(nèi)核可能無法正常工作。