ProHoster > Блог > Administracija > Mikrotik split-dns: uspjeli su

Mikrotik split-dns: uspjeli su

Manje od 10 godina kasnije, programeri RoS-a (u stabilnoj verziji 6.47) dodali su funkcionalnost koja vam omogućava da preusmjerite DNS upite prema posebnim pravilima. Ako je ranije bilo potrebno izbjegavati pravila Layer-7 u firewall-u, sada se to radi jednostavno i elegantno:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Mojoj sreći nema granica!

Šta nam to prijeti?

U najmanju ruku, riješili smo se čudnih NAT konstrukcija poput ove:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

I to nije sve, sada možete registrovati nekoliko prosljeđivača, što će vam pomoći da napravite DNS failover.
Inteligentna DNS obrada će omogućiti početak uvođenja ipv6 u mrežu kompanije. Prije toga nisam to radio, razlog je taj što sam morao riješiti niz dns imena na lokalne adrese, a u ipv6 to se nije moglo bez prilično velikih štaka.

izvor: www.habr.com