iptables规则允许从外部到内部networking的特定DNS请求

我有一个networking分为4个部分：外部DMZ，内部DMZ，用户空间和群集。

我还有4个防火墙：Internet和外部DMZ之间的边界路由器，外部DMZ和集群之间的集群前端，外部和内部DMZ之间的主要防火墙以及内部DMZ和内部DMZ之间的内部防火墙用户空间。

外部DMZ中有一个外部DNS服务器，内部DMZ中有一个内部DNS服务器。

我的目标是使用iptables规则来允许或阻止特定的查询。 我想要从外部DNS服务器处理来自Internet的查询，但只允许parsing外部DMZ的名称。 换句话说，我想阻止这些查询到达内部DNS服务器。 但是，我想允许来自群集的所有查询（由外部DNS服务器处理）以及来自用户空间的所有查询（由内部DNS服务器处理）。

• MaraDNS致命错误
• 如何阻止本地nslogging公开？
• 如何在Windows Server 2008r2中启用本地局域网DNS名称parsing？
• Windows DNS服务器recursion解决dns策略的问题
• IPv6的透明DNS代理

例如，我在内部DMZ中有一个Web服务器。 我希望群集能够访问它（这意味着内部DNS服务器将不得不回答来自群集的请求），但是我想阻止它从Internet访问（或者更确切地说，隐藏它？）。 由于来自Internet的查询被定向到外部DNS服务器，我想阻止这些查询通过主防火墙。

只有iptables规则可能吗？ 我遇到了麻烦，只允许集群查询到达内部DNS服务器。

这是我目前使用的（对于每个防火墙，eth0面向互联网，而eth1面向另一端，“向内”）。

在边界路由器上：

iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to $extdns iptables -A FORWARD -p udp -d $extdns --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p udp -s $extdns --sport 53 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -s $extdns --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -d $extdns --dport 53 -m state --state ESTABLISHED -j ACCEPT 

在集群前端：

 iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to $extdns iptables -A FORWARD -p udp -d $extdns --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p udp -s $extdns --sport 53 -m state --state ESTABLISHED -j ACCEPT 

在主防火墙上：

 iptables -A INPUT -p udp -s $intdns --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -d $intdns --dport 53 -m state --state ESTABLISHED -j ACCEPT 

在内部防火墙上：

 iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to $intdns iptables -A FORWARD -p udp -d $intdns --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p udp -s $intdns --sport 53 -m state --state ESTABLISHED -j ACCEPT 

默认策略设置为丢弃数据包（INPUT，FORWARD和OUTPUT）。