ProHoster > Blog > administration > Mikrotik split-dns: de gjorde det

Mikrotik split-dns: de gjorde det

Mindre end 10 år senere tilføjede udviklerne af RoS (i stabil 6.47) funktionalitet, der giver dig mulighed for at omdirigere DNS-forespørgsler i henhold til særlige regler. Hvis det tidligere var nødvendigt at undvige med Layer-7 regler i firewallen, gøres dette nu enkelt og elegant:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Min lykke kender ingen grænser!

Hvad truer det os med?

Som minimum slipper vi af med mærkelige NAT-konstruktioner som denne:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Og det er ikke alt, nu kan du registrere flere speditører, hvilket vil være med til at gøre dns failover.
Intelligent DNS-behandling vil gøre det muligt at begynde at introducere ipv6 i virksomhedens netværk. Før det gjorde jeg ikke dette, grunden er, at jeg skulle løse en række dns-navne til lokale adresser, og i ipv6 kunne dette ikke lade sig gøre uden ret store krykker.

Kilde: www.habr.com