隔离区（DMZ）

DMZ： demiliatarized zone

隔离区，也称为“非军事化区”。

他是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设置，如企业Web服务器，FTP服务器和论坛等。

另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

网络设备开发商，利用这一技术，开发出响应的防火墙解决方案。称为“非军事区结构模式”。DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。

DMZ防火墙为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同事它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机，Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。

在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

一、服务器环境

必须为centos6x的 环境 centos7x不能按照本教程 centos5x未测试

二、安装并启动DNSMASQ

yum install -y dnsmasqservice dnsmasq start

三、dnsmasq配置

1、Dnsmasq的配置文件路径为：/etc/dnsmasqconf

# ll -d /etc/dnsmasqconf -rw-r--r-- 1 root root 21237 Feb 23 00:17 /etc/dnsmasqconf

2、编辑/etc/dnsmasqconf

resolv-file=/etc/resolvdnsmasqconf //dnsmasq 会从这个文件中寻找上游dns服务器strict-order //去掉前面的#addn-hosts=/etc/dnsmasqhosts //在这个目里面添加记录listen-address=127001,1921681123//监听地址 如果想对所有计算机服务，则为0000

3、修改/etc/resolvconf

echo 'nameserver 127001' > /etc/resolvconf

4、创建resolvdnsmasqconf文件并添加上游dns服务器的地址

touch /etc/resolvdnsmasqconfecho 'nameserver 119292929' > /etc/resolvdnsmasqconf

5、创建dnsmasqhosts文件

cp /etc/hosts /etc/dnsmasqhostsecho 'addn-hosts=/etc/dnsmasqhosts' >> /etc/dnsmasqconf

提示：resolvdnsmasqconf中设置的是真正的Nameserver，可以用电信、联通等公共的DNS。

三、DNSmasq启动

1、设置Dnsmasq开机启动并启动Dnsmasq服务：

chkconfig dnsmasq on/etc/initd/dnsmasq restart

2、netstat -tunlp|grep 53 查看Dnsmasq是否正常启动：

# netstat -tlunp|grep 53tcp 0 0 0000:53 0000: LISTEN 2491/dnsmasq tcp 0 0 :::53 ::: LISTEN 2491/dnsmasq udp 0 0 0000:53 0000: 2491/dnsmasq udp 0 0 :::53 ::: 2491/dnsmasq

3、dig smallxume，第一次是没有缓存，所以时间是400多

4、第二次再次测试，因为已经有了缓存，所以查询时间已经变成了2

为了防止故意进行DNS劫持，这里不贴出

四、DNSMASQ的配置

1、本地DNS使用

这里我们本地DNS可以使用服务器中配置的IP，这样我们本机就使用到自己的DNS，备用DNS可以用一个第三方公用DNS。

2、屏蔽网站/广告

vi /etc/dnsmasqconf

如果我们需要屏蔽某个网站或者广告，可以修改上面的文件

address=/itbulucom/127001address=/smallxume/127001

比如我希望无法打开这两个网站，就在配置文件中添加指定的IP或者其他劫持的IP，比如我们打开某个网站被指定到其他的服务器或者网站中，就这样被劫持的。同样的，我们也可以将广告目录屏蔽。

添加后 smallxume和itbulucom将会被解析到127001

第五、Dnsmasq配置和使用总结

Dnsmasq实际功能不仅仅局限在上面的搭建我们本地需要的DNS服务器功能，如果真就这么简单的用法，那我们也没有必要用一台服务器配置。使用点第三方公共DNS还是没有问题的，有点广告也无妨。

对于广大网民而言，头疼的问题之一就是宽带服务商强行劫持DNS，随之而来的就是满屏乱飞的广告，简直就是挥之不去的恶梦。本人一普通的不能再普通的网民一份子，自然也深受其苦，投诉无门之下，无奈，只有使用 公用DNS 服务器 ，杜绝国内宽带服务商的流氓行径。目前，较权威的 公用DNS 服务器提供商有OpenDNS，Google Public DNS，Norton DNS ，那么这几个DNS服务器的实际访问速度又如何呢？这直接关系到我们上网的速度；毕竟，网速快才是王道。笔者通过分布在全国11个具有代表性城市的服务器，对这几个DNS服务器ping值做了比较，为全国网民上网设置提供一些参考。下面我们看数据说话：

同时，假如你设置自己的DNS，还可以防止运营商的广告和弹窗及输入域名错误跳转到广告页面呢。

Windows系统 - 右击“网络” 或右击网络图标“网络和共享中心” - 更改适配器设置 - 右击“本地链接” - 双击TCP/IP4，修改DNS服务器地址

Linux 系统 - 命令行 vi /etc/resolvconf 即时生效： vi /etc/nsswitchconf 配置行 hosts： file nds 如域名直接指向IP：vi /etc/hosts

公共 DNS 服务器 IP 地址(国内外常用)

名称

DNS 服务器 IP 地址

114 DNS

114114114114

114114115115

阿里 AliDNS

223555

223666

百度 BaiduDNS

180767676

DNSPod DNS+

119292929

182254116116

CNNIC SDNS

1248

210248

oneDNS

1121244727

11421512616

DNS 派电信/移动/铁通

10122646

218301186

DNS 派 联通

123125816

1402071986

Google DNS

8888

8844

OpenDNS

20867222222

20867220220

V2EX DNS

1999173222

17879131110

微软

4221

4222

名称

DNS 服务器 IP 地址

安徽电信 DNS

6113216368

20210221368

北京电信 DNS

21914113610

21914114010

重庆电信 DNS

6112819268

6112812868

福建电信 DNS

2188515299

2188515799

甘肃电信 DNS

2021006468

61178093

广东电信 DNS

2029612886

20296128166

2029613433

2029612868

广西电信 DNS

20210322568

20210322468

贵州电信 DNS

2029819267

20298198167

河南电信 DNS

222888888

222858585

黑龙江电信

219147198230

219147198242

湖北电信 DNS

2021032468

202103068

湖南电信 DNS

22224612980

595178211

江苏电信 DNS

218222

218444

61147371

21821351

江西电信 DNS

20210122469

20210122668

内蒙古电信

21914816231

222743950

山东电信 DNS

219146166

219147166

陕西电信 DNS

218301940

6113414

上海电信 DNS

20296209133

116228111118

202962095

108168255118

四川电信 DNS

61139269

2186200139

天津电信 DNS

21915032132

2191460132

云南电信 DNS

22217220068

61166150123

浙江电信 DNS

20210117235

61153177196

611538175

601912445

名称

DNS 服务器 IP 地址

北京联通 DNS

202106196115

20210646151

202106020

20210619568

重庆联通 DNS

221520398

22179298

广东联通 DNS

210211966

22158888

河北联通 DNS

2029916068

202991664

河南联通 DNS

20210222468

20210222768

黑龙江联通

2029722469

2029722468

吉林联通 DNS

20298068

20298568

江苏联通 DNS

2216466

2216467

内蒙古联通

2029922468

202992248

山东联通 DNS

20210212868

2021021523

20210213468

2021021543

山西联通 DNS

2029919266

2029919268

陕西联通 DNS

22111167

22111168

上海联通 DNS

21022703

21022843

四川联通 DNS

119666

12416187155

天津联通 DNS

2029910468

202999668

浙江联通 DNS

221121227

2211233227

名称

DNS 服务器 IP 地址

上海电信

180153225136

杭州电信

11529189118

广东电信

203195182150

北方联通

118244224124

1、 谷歌DNS 服务

谷歌提供DNS服务已经很多年了，业界口碑一向很好，这主要得益于其世界各地都部署了服务器，而且可靠性高、相应速度快，可以说是相当理想的选择。

谷歌DNS服务器地址：

88888844

2、OpenDNS

OpenDNS在第三方DNS服务领域同样相当有名，其不仅提供DNS服务，还提供恶意软件过滤、成人网站过滤等服务，因此非常适合家庭用户，其既有免费的基本DNS服务，也有更高级的提供安全+DNS的服务（收费）。

OpenDNS的家庭盾服务器地址：

2086722212320867220123

OpenDNS的家庭服务器地址：

2086722222220867220220

3、Norton ConnectSafe

Norton ConnectSafe不仅提供DNS服务，同时完善的安全过滤服务，其分为三种防护策略：A、可扩率恶意软件、钓鱼和欺诈网站；B、在A的基础上还能过滤成人网站；C、在A和B的基础上还能过滤赌博、犯罪等网站。

Norton ConnectSafe政策的服务器地址：

19985126101998512710

Norton ConnectSafe策略B服务器地址：

19985126201998512720

19815319240(过滤不安全网页)19815319440(同上)19815319250(过滤不安全网页+色情)19815319450(同上)19815319260(过滤不安全网页+色情+非家庭友好)19815319460(同上)

Norton ConnectSafe政策C服务器地址：

19985126301998512730

4、DNSWATCH

DNSWATCH不会过滤任何网站，提供的是纯粹的DNS服务，而且其DNS服务器主要在德国，更加适合欧洲用户。

DNSWATCH服务器地址：

842006980842007040

5、Comodo Secure DNS

Comodo Secure DNS提供免费且快速的DNS服务，同时也比ISP更加可靠。此外，其还提供了针对恶意软件、间谍软件、钓鱼网站和广告的过滤工作。

Comodo Secure DNS服务器地址：

826562682024720

以下是中国大陆以外地区运营商提供的公共DNS解析服务器。

香港：

2021812242

台湾：

168951921

1689511

澳门大学：

20217538

20217533

美国：

2081516965

205252144228

202181202140

日本：

202122733

20221622818