ProHoster > Bloc > Administració > Mikrotik split-dns: ho van fer

Mikrotik split-dns: ho van fer

Menys de 10 anys després, els desenvolupadors de RoS (a la 6.47 estable) van afegir una funcionalitat que us permet redirigir les sol·licituds de DNS segons regles especials. Si abans era necessari esquivar les regles de la capa 7 al tallafoc, ara es fa de manera senzilla i elegant:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

La meva felicitat no té límits!

Amb què ens amenaça això?

Com a mínim, desfer-nos de construccions estranyes de NAT com aquesta:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

I això no és tot, ara podeu registrar diversos reenviadors, que us ajudaran a fer que el DNS falle.
El processament intel·ligent de DNS permetrà començar a introduir ipv6 a la xarxa de l'empresa. Abans d'això, no ho vaig fer, la raó és que necessitava resoldre una sèrie de noms dns a adreces locals, i en ipv6 això no es podria fer sense crosses força grans.

Font: www.habr.com