单服务器多角色部署：防火墙、NAT、DHCP与DNS整合配置指南

引言

在中小型网络环境中，将单一服务器配置为防火墙、NAT路由网关、DHCP服务器及DNS服务器，不仅能有效降低硬件成本，还能通过集中管理提升网络运维效率。本文将详细阐述如何基于Linux系统（以Ubuntu为例）实现上述功能的整合部署，涵盖iptables防火墙规则、NAT路由配置、dnsmasq服务管理以及安全加固策略。

一、服务器角色定位与网络拓扑设计

1.1 角色定位

• 防火墙：通过iptables实现包过滤、状态检测及攻击防护
• NAT网关：为内网设备提供IP地址转换服务
• DHCP服务器：动态分配IP地址、子网掩码等网络参数
• DNS服务器：提供本地域名解析及缓存服务

1.2 网络拓扑

[外网] -- [eth0(WAN)] -- [服务器] -- [eth1(LAN)] -- [内网设备]

• eth0配置公网IP或运营商分配的动态IP
• eth1配置私有IP（如192.168.1.1/24）作为内网网关

二、基础环境准备

2.1 系统要求

• Ubuntu 20.04 LTS或更高版本
• 双网卡（物理/虚拟）
• 启用IP转发功能：

  echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
  sudo sysctl -p

2.2 安装必要软件包

sudo apt update
sudo apt install -y iptables dnsmasq

三、防火墙配置（iptables）

3.1 基础规则框架

# 清空现有规则
sudo iptables -F
sudo iptables -X
# 设置默认策略
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
# 允许本地回环
sudo iptables -A INPUT -i lo -j ACCEPT

3.2 允许已建立连接

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3.3 NAT规则配置

# 启用NAT转发
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# 允许内网访问外网
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

3.4 端口转发示例（将80端口转发至内网Web服务器）

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
sudo iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -d 192.168.1.100 -j ACCEPT

3.5 规则持久化

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

四、NAT路由网关配置

4.1 内网接口配置

编辑/etc/network/interfaces：

auto eth1
iface eth1 inet static
    address 192.168.1.1
    netmask 255.255.255.0

4.2 路由表验证

ip route show
# 应包含默认路由通过eth0：default via <外网网关> dev eth0

五、DHCP服务配置（dnsmasq）

5.1 主配置文件

编辑/etc/dnsmasq.conf：

interface=eth1
bind-interfaces
dhcp-range=192.168.1.100,192.168.1.200,24h
dhcp-option=3,192.168.1.1  # 默认网关
dhcp-option=6,192.168.1.1  # DNS服务器

5.2 静态IP分配示例

dhcp-host=00:11:22:33:44:55,server1,192.168.1.10

5.3 启动服务

sudo systemctl restart dnsmasq
sudo systemctl enable dnsmasq

六、DNS服务配置（dnsmasq）

6.1 本地域名解析

编辑/etc/dnsmasq.conf：

address=/example.com/192.168.1.10

6.2 上游DNS服务器

server=8.8.8.8
server=8.8.4.4

6.3 缓存配置

cache-size=1000

七、安全加固措施

7.1 防火墙增强规则

# 限制SSH访问
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
# 防止ICMP洪水攻击
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m hashlimit --hashlimit-mode srcip --hashlimit-upto 1/sec --hashlimit-burst 5 -j ACCEPT

7.2 失败登录限制

编辑/etc/security/limits.conf：

* hard maxlogins 3

7.3 服务隔离

# 禁止dnsmasq监听公网接口
echo "listen-address=127.0.0.1,192.168.1.1" | sudo tee -a /etc/dnsmasq.conf

八、监控与维护

8.1 连接状态监控

sudo netstat -tulnp
sudo iptables -L -v -n

8.2 日志分析

# 查看DNS查询日志
sudo tail -f /var/log/syslog | grep dnsmasq
# 查看防火墙日志
sudo tail -f /var/log/kern.log | grep DROP

8.3 定期维护脚本

#!/bin/bash
# 清理过期连接
sudo conntrack -D
# 重启关键服务
sudo systemctl restart dnsmasq

九、故障排查指南

9.1 常见问题

• 内网无法上网：

  • 检查iptables FORWARD链规则
  • 验证NAT规则是否生效
  • 确认内网设备网关设置

• DHCP分配失败：

  • 检查dnsmasq是否监听正确接口
  • 验证IP范围是否冲突
  • 查看系统日志：journalctl -u dnsmasq

9.2 诊断工具

# 测试NAT功能
sudo tcpdump -i eth0 icmp
# 测试DNS解析
dig @localhost example.com

十、性能优化建议

10.1 连接跟踪优化

# 增大连接跟踪表
echo "net.netfilter.nf_conntrack_max=65536" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

10.2 DNS缓存优化

# 增加DNS缓存条目
echo "cache-size=5000" | sudo tee -a /etc/dnsmasq.conf

10.3 DHCP租约优化

# 缩短租约时间（测试环境）
echo "dhcp-lease-max=100" | sudo tee -a /etc/dnsmasq.conf

结论

通过将单台服务器配置为防火墙、NAT网关、DHCP及DNS服务器，可构建高效、可控的中小型网络环境。实际部署时需注意：

1. 定期备份配置文件
2. 建立变更管理流程
3. 实施分级访问控制
4. 保持系统安全更新

建议根据实际业务需求调整配置参数，并通过压力测试验证系统稳定性。对于高可用性要求场景，可考虑配置双机热备或使用专业网络设备。