Dnsmasq+ipset+iptables基于域名的流量管理

最新推荐文章于 2024-06-04 22:26:30 发布
最新推荐文章于 2024-06-04 22:26:30 发布
阅读量2.5w 收藏 27
点赞数 1
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvshaorong/article/details/52981169
版权
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储再ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发,可以实现很多功能,比如:禁止浏览某些网站,对国内和国外的流量进行分流等。本文主要介绍了dnsmasq+ipset+iptables的配置
摘要由CSDN通过智能技术生成

iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储在ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发,可以实现很多功能,比如:

禁止浏览某些网站,如taobao.com

对国内和国外的流量进行不同路径的转发或者代理,可以应用在ss或者SSH这样的代理中,加速某些网站访问速度。

原理很简单,就是Dnsmasq接收到一个DNS查询请求,首先匹配配置文件中的域名列表,如果匹配成功某域名,就把IP的查询结果存储在一个或几个ipset集合中,然后使用iptables对这个ipset中的全部ip进行匹配并做相应的处理,如DROP或者REDIRECT。

下面来看一下Dnsmasq+ipset的工作过程

首先Ubuntu16.04自带dnsmasq-full,Openwrt 15.05等较新的版本的dnsmasq也支持ipset,并将本机的dns服务器设置为dnsmasq(/etc/resolv.conf中将域名服务器设置为127.0.0.1遍指向了本地的dnsmasq服务)。

其中ipset默认没有被安装,Ubuntu和Openwrt均可使用自带的软件包安装源进行安装,具体步骤这里就不细说了,就像安装普通的包一样。

我们可以通过dnsmasq -v来查看当前主机的dnsmasq是否添加了ipset支持

最低0.47元/天 解锁文章
lvshaorong
关注
  • 1
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
8-ipset实现网站过滤
Creator_Ly的博客
05-11 1268
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储在ipset中,所以使用dnsmasq+ipset就可以实现iptables域名的转发,可以实现很多功能 原理很简单,就是Dnsmasq接收到一个DNS查询请求,首先匹配配置文件中的域名列表,如果匹配成功某域名,就把IP的查询结果存储在一个或几个ipset集合中,然后使用iptables对这个ipset中的全部ip进行匹配并做相应的处理,如DROP或者REDIRECT.
服务网格-流量拦截
一个初学者 的博客
03-29 1666
1. 根据域名拦截请求 思路:iptables只能通过ip粒度进行拦截转发丢弃,无法通过域名粒度转发。但是iptables可通过ipset进行拦截,并通过dnsmasq域名对应的ip写入到ipset中,实现了域名粒度的拦截。 域名ipset绑定的流程 1. 在/etc/resolv.conf 中加入 nameserver 127.0.0.1 2. yum install -y dnsmasq 3. yum install -y ipset 4. ipset create proxyipset
Centos7配置DNS分流
最新发布
sd675的博客
06-04 767
运行前可以进入该脚本中查看一下,看一下红框中的域名是否为223.5.5.5,如果是,就没关系,如果不行就需要修改成这个。作为域名解析服务器(DNS),dnsmasq可以通过缓存 DNS 请求来提高对访问过的网址的连接速度。该资源需要拥有访问海外的权限才能拉取,我会将该文件放到百度网盘中,手动拉到服务器中即可。配置文件,添加红框中的文字,由于该文件全被注释掉了,所以可以集中收集后统一进行添加。不清楚如何手动拉取的,可以查看我的另一篇文章。四、关闭防火墙并将dnsmasq设为开机自启。
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
ddwrt php,DDWRT kong大最新固件,ipset+dnsmasq+iptables实现。。。
weixin_31749299的博客
03-10 435
#!/bin/shmount -o bind /jffs/opt /optmount -o bind /jffs/opt/sbin/dnsmasq /usr/sbin/dnsmasqmount -o bind /jffs/opt/sbin/iptables /usr/sbin/iptablesinsmod /jffs/usr/lib/modules/xt_set.ko/opt/bin/shadow...
dnsmasq, ipsetiptables配置
IOsetting的专栏
02-12 2471
说明 把出园的流量和园内的流量分开,只有需要出园的流量才经过v2r。 运行机制: 设置一组园外域名 设置dnsmasq将园外域名解析后的ip地址自动加入指定ipset v2r开启dokodemo端口 iptables将匹配指定ipset的包转发给v2r的dokodemo端口 需要用dnsmasq-full替换dnsmasq才能支持ipset. 安装配置 开机自动创建ipsetiptable...
iptables IP转发
shyodx的专栏
09-14 5257
有两台服务器: A:219.246.xxx.yyy。这是一个内网地址,外网无法访问。B:202.201.aaa.bbb。这是一个公网地址,它和xxx.lzu.edu.cn这个域名绑定。 两台服务器上都跑了一个HTTP的服务,他们之间可以互相访问。现在希望访问mmm.lzu.edu.cn时,能自动跳转到219.246.xxx.yyy上,因此可以做IP转发,或叫IP映射。来使所有发到202
dnsmasq-2.48没有ipset特性,安装dnsmasq-2.71来支持ipset
weixin_33819479的博客
12-22 754
  iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储在ipset中,所以使用dnsmasq+ipset就可以实现iptables域名的转发。    Dnsmasq接收到一个DNS查询请求,首先匹配配置文件中的域名列表,如果匹配成功某域名,就把IP的查询结果存储在一个或几个ipset集合中,然后使用iptabl...
alpine-router:使用iptablesdnsmasq的基于linux的高山路由器
02-06
它可以缓存 DNS 查询,减少网络流量,同时提供 DHCP 服务,自动分配 IP 地址给网络上的设备。dnsmasq 还可以用于配置网络设备,使其能够通过 LAN 作为 DNS 解析器,从而提高本地网络的响应速度和安全性。 **Alpine ...
dnsmasq为某个域名配置单独的DNS.txt
03-24
dnsmasq为某个域名配置单独的DNS.txt
gfwlist2dnsmasq_python:这是另一个使用gfwlist自动生成dnsmasq ipset规则的python脚本。 Shell脚本版本:https:github.comcokebargfwlist2dnsmasq
02-21
只是另一个使用gfwlist自动生成dnsmasq ipset规则的脚本 通知:需要python2,请勿使用python3 GFWList由正则表达式组成,但是dnsmasq规则由域名组成。 因此,从GFWList到dnsmasq规则列表的转换不是等效的转换。 您...
基于域名路由策略.zip
07-17
通常,我们使用的路由策略是基于IP地址的,但随着网络环境的复杂性增加,基于域名的路由策略逐渐受到关注。这篇内容将深入探讨如何在Linux系统中实现基于域名的路由策略。 首先,理解基本概念是非常重要的。路由...
滑翔机:滑翔机是具有多种协议支持的转发代理,也是具有ipset管理功能(例如dnsmasq)的dnsdhcp服务器
02-04
glider是具有多种协议支持的前向代理,也是具有ipset管理功能(例如dnsmasq)的dns / dhcp服务器。 我们可以将本地侦听器设置为代理服务器,并通过转发器将请求转发到Internet。 | Forwarder ----------------- > | ...
dnsmasq 的配置
weixin_34321977的博客
11-17 95
dnsmasq安装dnsmasqyum install dnsmasq -y chkconfig dnsmasq on配置设置本机dns配置文件cat > /etc/resolv.conf << EOF nameserver 192.168.100.9 nameserver 223.5.5.5 nameserver 223.6.6.6 EOF设置外网dns...
Openwrt上使用dnsmasqipset实现域名分流
weixin_34267123的博客
05-02 4422
目标 部署一台自动代理路由器,实现根据域名来自动设定直连或者代理,而我要做的只是设置PC的默认网关为主路由器(192.168.0.1)还是自动代理路由器(192.168.0.254)。 创建Openwrt虚拟机 系统版本 主路由器 (ip: 192.168.0.1) ESXI 6.0U2 Openwrt 15.05.1 (ip: 192.168.0.254,gateway: 192.168.0....
很好用的DNS工具--------DNSmasq
weixin_34195364的博客
02-27 878
今天介绍一款布署,配置都十分方便快捷的DNS工具---DNSmasq NSmasq是一个小巧且方便地用于配置DNS和DHCP的工具,适用于小型网络,它提供了DNS功能和可选择的DHCP功能。它服务那些只在本地适用的域名,这些域名是不会在全球的DNS服务器中出现的。DHCP服务器和DNS服务器结合,并且允许DHCP分配的地址能在DNS中正常解析,而这些DHCP分配的地址和相关命令可以配置到每台主机中...
dnsmasq选项介绍
to_be_better_wen的博客
10-01 5498
dnsmasq 配置 使用 说明
ipsetiptables的扩展
05-07 665
ipsetiptables的扩展,使得linux防火墙配置更加灵活,易用
(DNS)dnsmasq部署DNS
weixin_34265814的博客
02-24 473
转自:https://www.hi-linux.com/posts/30947.html   Dnsmasq提供DNS缓存和DHCP服务、Tftp服务功能。作为域名解析服务器(DNS),Dnsmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度。作为DHCP服务器,Dnsmasq可以为局域网电脑提供内网ip地址和路由。DNS和DHCP两个功能可以同时或分别单独实现。Dnsmasq轻量且易...
openwrt 的Dnsmasq开启ipset支持
06-11
要在OpenWrt中开启Dnsmasqipset支持,您可以按照以下步骤操作: 1. 连接到OpenWrt路由器的Web界面或SSH终端。 2. 安装ipsetipset-dns包。您可以通过以下命令完成: ``` opkg update opkg install ipset ipset-dns ``` 3. 编辑Dnsmasq配置文件。您可以通过以下命令完成: ``` vi /etc/dnsmasq.conf ``` 4. 在配置文件中添加以下行: ``` ipset=/domain.com/whitelist ``` 这将启用Dnsmasqipset支持,并将.com域名添加到ipset的白名单中。 5. 保存并退出配置文件。 6. 重新启动Dnsmasq服务。您可以通过以下命令完成: ``` /etc/init.d/dnsmasq restart ``` 现在,您已经成功地在OpenWrt中启用了Dnsmasqipset支持。请注意,您需要将所需的域名添加到ipset白名单中,以便Dnsmasq可以正确地解析它们。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值