iptables 规则允许从外部网络到内部网络的特定 DNS 请求

我有一个分为 4 个部分的网络：外部 DMZ、内部 DMZ、用户空间和集群。

我还有 4 个防火墙：Internet 和外部 DMZ 之间的边界路由器、外部 DMZ 和集群之间的集群前端、外部和内部 DMZ 之间的主防火墙以及内部 DMZ 和用户空间之间的内部防火墙。

外部 DMZ 中有一个外部 DNS 服务器，内部 DMZ 中有一个内部 DNS 服务器。

我的目标是使用 iptables 规则来允许或阻止特定查询。我希望来自 Internet 的查询由外部 DNS 服务器处理，但仅允许解析外部 DMZ 的名称。换句话说，我希望阻止这些查询到达内部 DNS 服务器。但是，我希望允许来自集群的所有查询（由外部 DNS 服务器处理）以及来自用户空间的所有查询（由内部 DNS 服务器处理）。

例如，我在内部 DMZ 中有一个 Web 服务器。我希望集群能够访问它（这意味着内部 DNS 服务器必须回答来自集群的请求），但我想阻止它从 Internet 访问（或者说隐藏它？）。由于来自 Internet 的查询被定向到外部 DNS 服务器，因此我想阻止这些查询通过主防火墙。

仅使用 iptables 规则是否可行？我很难想出一种方法来仅允许集群查询到达内部 DNS 服务器。

这是我目前正在使用的（对于每个防火墙，eth0 面向 Internet，而 eth1 面向另一侧，“向内”）。

在边界路由器上：

iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to $extdns
iptables -A FORWARD -p udp -d $extdns --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p udp -s $extdns --sport 53 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp -s $extdns --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -d $extdns --dport 53 -m state --state ESTABLISHED -j ACCEPT

在集群前端：

iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to $extdns
iptables -A FORWARD -p udp -d $extdns --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p udp -s $extdns --sport 53 -m state --state ESTABLISHED -j ACCEPT

在主防火墙上：

iptables -A INPUT -p udp -s $intdns --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -d $intdns --dport 53 -m state --state ESTABLISHED -j ACCEPT

在内部防火墙上：

iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to $intdns
iptables -A FORWARD -p udp -d $intdns --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p udp -s $intdns --sport 53 -m state --state ESTABLISHED -j ACCEPT

默认策略设置为丢弃数据包（INPUT、FORWARD 和 OUTPUT）。