ProHoster > blog > Gweinyddiaeth > Mikrotik split-dns: gwnaethant hynny

Mikrotik split-dns: gwnaethant hynny

Llai na 10 mlynedd yn ddiweddarach, ychwanegodd datblygwyr RoS (yn sefydlog 6.47) ymarferoldeb sy'n eich galluogi i ailgyfeirio ceisiadau DNS yn unol Γ’ rheolau arbennig. Os oedd angen osgoi rheolau Haen-7 yn y wal dΓ’n yn gynharach, nawr gwneir hyn yn syml ac yn gain:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Nid yw fy hapusrwydd yn gwybod unrhyw derfynau!

Beth mae hyn yn ein bygwth ni?

O leiaf, rydyn ni'n cael gwared Γ’ lluniadau NAT rhyfedd fel yr un hwn:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Ac nid dyna'r cyfan, nawr gallwch chi gofrestru sawl blaenwr, a fydd yn helpu i wneud dns yn methu.
Bydd prosesu DNS deallus yn ei gwneud hi'n bosibl dechrau cyflwyno ipv6 i rwydwaith y cwmni. Cyn hynny, ni wnes i hyn, y rheswm yw bod angen i mi ddatrys nifer o enwau dns i gyfeiriadau lleol, ac yn ipv6 ni ellid gwneud hyn heb faglau eithaf mawr.

Ffynhonnell: hab.com