Meno di 10 anni sò passati da chì i sviluppatori di RoS (in stabile 6.47) aghjunghjenu funziunalità chì vi permette di redirige e dumande DNS in cunfurmità cù e regule speciale. Se prima era necessariu di esquivà cù e regule Layer-7 in u firewall, avà questu hè fattu simplice è elegante:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
A mo felicità ùn cunnosci micca limiti !
Chì ci minaccia questu?
À u minimu, sbaramu di strani custruzzioni NAT cum'è questu:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
È ùn hè micca tuttu, avà pudete registrà parechji forwarders, chì aiutanu à fà u failover dns.
U processu DNS intelligente permetterà di inizià a introduzione di ipv6 in a reta di a cumpagnia. Prima di quessa, ùn aghju micca fattu questu, u mutivu hè chì avia bisognu di risolve una quantità di nomi dns à l'indirizzi lucali, è in ipv6 questu ùn puderia micca esse fattu senza crutches piuttostu grande.
Source: www.habr.com