一、核心思想
配置動態DNS服務器的核心思想是：在DNS服務器上運行多個BIND，每個BIND為來自不同區
域的用戶提供解析，因此每個BIND都應具有不同的配置文件和域文件，并且分別監聽在不同
的端口。在接到客戶端DNS請求時，根據客戶的ip地址將請求重定向不同的BIND服務端口。
BIND響應時，再改寫相應包的服務端口為標準的53端口。這樣就可以根據客戶端的ip地址將
不同的解析結果返回給客戶端。整個過程對于客戶端來說都是透明的。實現的關鍵在于運行
不同的BIND及運用iptables進行ip地址及端口改寫操作。
關于iptables更為詳細的信息，請參考解決方案中作者的兩篇文章——《用iptales實現包
過慮型防火墻》及《用iptables實現NAT》。
二、配置過程
步驟1： 配置內核
netfilter要求內核版本不低于2.3.5，在編譯新內核時，要求選擇和netfilter相關的項目。這
些項目通常都是位于"Networking options"子項下。以2.4.0內核為例，我們應該選中的項目有：
[*] Kernel/User netlink socket ! ;
[ ] Routing messages
<*> Netlink device emulation
[*] Network packet filtering (replaces ipchains)
.......
然后，在"IP: Netfilter Configuration ---->"選中：
Connection tracking (required for masq/NAT)
FTP protocol support
IP tables support (required for filtering/masq/NAT)
limit match support
MAC address match support
Netfilter MARK match support
Multiple port match support
TOS match support
Connection state match support
Packet filtering
&! nbsp; REJECT target support
Fu ll NAT
MASQUERADE target support
REDIRECT target support
Packet mangling
TOS target support
MARK target support
LOG target support
ipchains (2.2-style) support
ipfwadm (2.0-style) support
其中最后兩個項目可以不選，但是如果你比較懷念ipchains或者ipfwadm，你也可以將其
選中，以便在2.4內核中使用ipchians或ipfwadm。但是需要注意的是，iptables是和
ipchians/ipfwadm相對立的，在使用iptables的同時就不能同時使用ipchains/ipfwadm。
編譯成功后，這些模塊文件都位于以下目錄中
/lib/modules/2.4.0/kernel/net/ipv4/netfilter
編譯2.4.0的新內核時還應該注意要在"Processor type and fea! tures"中選擇和你的
CPU相對應的正確的CPU選項，否則新內核可能無法正常工作。
步驟二、 配置BIND服務
缺省地，BIND服務監聽在53端口，我們可以通過配置讓BIND運行在不同的ip及端口上。
實現這一點并不復雜，假設我們的DNS服務器的ip地址是211.163.76.1，并且我們想區分
CERNET及非CERNET的客戶，這時我們必須運行兩個BIND，使用不同的配置文件。可以在
使用非標準監聽端口的BIND的配置文件中用listen-on指定BIND監聽的端口，比如：
options {
listen-on port 54 {211.163.76.1;}
directory "/var/named_cernet";
};
可以用named的-c 選項指定named讀入不同的配置文件，比如：
/usr/sbin/named -u named -c /etc/named_cernet.conf
步驟三、配置重定向規則
假設監聽在標準端口的BIND服務器為非CERNET客戶提供DNS解析，監聽在54端口的BIND服務器
為CERNET服務器提供DNS解析，我們可以建立如下的規則腳本：
#!/bin/bash
#打開端口轉發
echo 1 >&nb! sp;/proc/sys/net/ipv4/ip_forward
#加載相關的內核模塊
/sbi n/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptables_nat
#刷新所有規則
/sbin/iptables -t nat -F
#加入來自CERNET的DNS請求轉發規則，將其轉發到本地54端口，CERNET地址列表可從www.nic.edu.cn/RS/ipstat/獲得
/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16 --dport 53 -i eth0 -j REDIRECT 54!
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54
/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15 --dport 53 -i eth0 -j REDIRECT 54
…
#將返回給CERNET DNS客戶數據包的源端口(54端口)偽裝成53端口
/sbin/iptables -t nat -A POSTROUTING -p udp --sport 54 -o eth0 -j SNAT --to 211.163.76.1:53
/sbin/iptables -t&n! bsp;nat -A POSTROUTING -p tcp --sport&n bsp;54 -o eth0 -j SNAT --to 211.163.76.1:53
教育網網的朋友可以從這里這里下載該腳本，將腳本中的DNS_IP及CNET_PORT參數改成你自
己的DNS服務器地址及監聽端口即可。
步驟四、 運行動態DNS
配置完成后我們啟動DNS服務器，并且運行相應的規則腳本，我們的動態DNS服務器就可以正常工作了。