ProHoster > Blog > İdarə > Mikrotik split-dns: bunu etdilər

Mikrotik split-dns: bunu etdilər

RoS tərtibatçılarının (stabil 10-də) xüsusi qaydalara uyğun olaraq DNS sorğularını yönləndirməyə imkan verən funksionallıq əlavə etməsindən 6.47 ildən az vaxt keçdi. Əgər əvvəllər firewallda Layer-7 qaydaları ilə qaçmaq lazım idisə, indi bu sadə və zərif şəkildə edilir:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Xoşbəxtliyimin həddi-hüdudu yoxdur!

Bu bizi nə ilə təhdid edir?

Ən azı, biz bu kimi qəribə NAT konstruksiyalarından xilas oluruq:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Və bu, hamısı deyil, indi bir neçə ekspeditoru qeydiyyatdan keçirə bilərsiniz, bu da dns-nin uğursuzluğuna kömək edəcəkdir.
Ağıllı DNS emalı şirkətin şəbəkəsinə ipv6 tətbiq etməyə başlamağa imkan verəcək. Bundan əvvəl mən bunu etməmişdim, səbəb odur ki, bir sıra dns adlarını yerli ünvanlara həll etməli idim və ipv6-da bunu kifayət qədər böyük qoltuq dəyənəkləri olmadan etmək mümkün deyildi.

Mənbə: www.habr.com