@Alex-Zhao 2021-02-07T13:45:05.000000Z 字数 2693 阅读 134

域名智能路由系统

网络

域名智能路由系统

说明

客户端请求局域网中DNS服务器进行域名解析
局域网DNS转发到上层DNS解析，服务器DNS缓存会根据请求的域名和本地配置的清单进行匹配，转发到不同的上级DNS进行请求，默认去114.114.114.114请求。
如果域名配置有发送给IPSET，DNS缓存服务器会将解析的IP地址发送给IPSET。
客户端请求IP地址，如果请求的目的IP在IPSET中，会将该流量标记为 0x4d。
标记为0x4d的流量会走table 77路由表进行路由转发，下一跳地址是云谷设备。
未标记的流量会走默认路由转发到公网出口

路由系统使用的相关服务

dnsmasq: 用于域名解析缓存和ipset转发
ipset: 用于存储IP集合，可以存储IP网段或者IP地址
ipset-service: 用于管理ipset的服务。
iptables: 使用mangle进行流量mark。
策略路由: 为指定的流量制定相关路由策略

服务器配置

DNSmasq配置

# /etc/dnsmasq.conf
port=53
domain-needed
resolv-file=/opt/dnsmasq/resolv.dnsmasq.conf
strict-order
#interface=eth2
no-hosts
cache-size=1000000
log-queries
log-facility=/var/log/dnsmasq/dnsmasq.log
log-async=100
conf-dir=/etc/dnsmasq.d

# /opt/dnsmasq/resolv.dnsmasq.conf
nameserver 114.114.114.114

// 更新DNS策略域名
// 可以通过Github中的脚本更新 https://github.com/cokebar/gfwlist2dnsmasq.git
// 然后通过命令行更新dnsmasq_gfwlist文件
sh /opt/gfw/gfwlist2dnsmasq.sh -d 172.16.254.2 -p 53 -s gfwlist -o /etc/dnsmasq.d/dnsmasq_gfwlist.conf --extra-domain-file /tmp/domain.list
// 解释：
// -d：指定DNS解析转交的上级DNS
// -p: 上级DNS端口
// -s: 本地的ipset的名称
// -o: 生成的文件绝对路径
// --extra-domain-file：附增的本地外部域名文件，一行一条域名记录

ipset-service配置

# /etc/sysconfig/ipset-config
IPSET_SAVE_ON_STOP="yes"

ipset进行初始化配置

ipset create gfwlist hash:net 
# 解释：
# method: bitmap, hash, list, datatype: ip, net, mac, port, iface
# ipset的名称叫gfwlist，后边的iptables和策略路由会使用这个名称
# 这里使用hash:net格式，hash是因为速度会快一些切长度会长。net是因为可以兼容网段和IP地址。

启动ipset服务，进行初始化

由于ipset是在内存中进行缓存的ip集合，并不会文件保存，当服务器关闭或者重启，ipset缓存的ip集合会消失。使用我们使用ipset-service来进行维护。每次ipset.service启动时会自动加载/etc/sysconfig/ipset.d/*.set文件中的配置和集合信息，每次服务停止，也会将ipset的集合导出到文件中。

systemctl start ipset.service
systemctl enable ipset.service

配置iptables

systemct stop firewalld
systemctl disable firewalld
systemctl enable iptables
systemctl start iptables

配置iptables规则

iptables -P FORWARD DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -P INPUT DROP
iptables -A FORWARD -i eth2 -j ACCEPT
iptables -t mangle -A PREROUTING -m set --match-set gfwlist dst -j MARK --set-xmark 77
iptables -t mangle -A PREROUTING -m mark --mark 77 -j ACCEPT -t mangle //此条感觉加不加并没有啥作用,目的是所有打77标记的流量放行

配置策略路由

ip route add table gfwtable default via 172.16.254.2 dev bond4 
//创建gfwtable路由表，默认路由从bond4设备出，下一跳地址是172.16.254.2
ip rule add fwmark 77 table gfwtable  
//mark 77的流量走gfwtable路由表

配置开机创建策略路由

echo "77 gfwtable" >> /etc/iproute2/rt_tables
# /etc/rc.local
ip route flush table gfwtable
ip route add table gfwtable default via 172.16.254.2 dev bond4
ip rule add fwmark 77 table gfwtable

注意把文件修改可执行。不然不会执行
PS: chmod +x /etc/rc.d/rc.local