Nginx 四层（stream）反向代理 + DNS 负载均衡

一、实验目标

1. 用 Nginx（IP：192.168.65.135）做四层反向代理，将 53/udp 请求轮询转发到两台权威 DNS：

   • 192.168.65.131

   • 192.168.65.132

2. 验证：外部查询 dns.xiaott.org 时，135 端口返回的结果在 131/132 之间切换，且均带 aa（权威）标志。

──────────────────────────────────
二、实验拓扑

Client ──UDP/53──► 192.168.65.135 (Nginx stream)├─► 192.168.65.131:53 (BIND)  └─► 192.168.65.132:53 (BIND)

──────────────────────────────────
三、环境信息

──────────────────────────────────
四、DNS 权威服务器配置（131 & 132）

1. 区域文件 /var/named/xiaott.org.zone（两台内容一致，仅 serial 不同，便于观察）

$TTL 1D
@   IN SOA dns.xiaott.org. root.xiaott.org. (2025072801 ; serial on 1311D 1H 1W 3H )IN NS dns.xiaott.org.
dns IN A  192.168.65.131   ; <-- 131 上
bbs IN A  192.168.65.131

$TTL 1D
@   IN SOA dns.xiaott.org. root.xiaott.org. (2025072802 ; serial on 1321D 1H 1W 3H )IN NS dns.xiaott.org.
dns IN A  192.168.65.132   ; <-- 132 上
bbs IN A  192.168.65.132

1. 启动并验证

systemctl enable --now named
named-checkzone xiaott.org /var/named/xiaott.org.zone
dig @127.0.0.1 dns.xiaott.org +short

返回各自 IP 表示权威服务器正常。

──────────────────────────────────
五、Nginx 四层反向代理配置（135）

1. 目录结构

/usr/local/nginx/
└── tcp.d/└── dns.conf

1. 内容：/usr/local/nginx/tcp.d/dns.conf

stream {upstream dns_cluster {server 192.168.65.131:53 max_fails=3 fail_timeout=5s;server 192.168.65.132:53 max_fails=3 fail_timeout=5s;}server {listen 53 udp;               # 四层 UDPproxy_pass dns_cluster;proxy_responses 1;           # 等待 1 个 DNS 响应proxy_timeout 1s;}
}

1. 引入主配置
   在 nginx.conf 的 include 区域添加：

include /usr/local/nginx/tcp.d/*.conf;

1. 启动 Nginx

nginx -t   # 语法检查
systemctl reload nginx
ss -unlp | grep 53   # 确认 135 正在监听 udp/53

──────────────────────────────────
六、测试与现象记录

抓包验证（135 上）：

tcpdump -i any -nn udp port 53 and host 192.168.65.135

可看到源端口 53 的报文交替发往 131 与 132。

──────────────────────────────────
七、结论

1. Nginx 成功以四层 UDP 反向代理将 53 端口请求轮询到后端两台权威 DNS。

2. 通过 max_fails 与 fail_timeout 实现健康检查与故障摘除。

3. 客户端始终感知单一入口（192.168.65.135），无需关心后端变化。