Έχουν περάσει λιγότερο από 10 χρόνια από τότε που οι προγραμματιστές του RoS (σε σταθερό 6.47) πρόσθεσαν λειτουργικότητα που σας επιτρέπει να ανακατευθύνετε αιτήματα DNS σύμφωνα με ειδικούς κανόνες. Εάν νωρίτερα ήταν απαραίτητο να αποφύγετε τους κανόνες Layer-7 στο τείχος προστασίας, τώρα αυτό γίνεται απλά και κομψά:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Η ευτυχία μου δεν έχει όρια!
Τι μας απειλεί αυτό;
Τουλάχιστον, απαλλαγούμε από περίεργες κατασκευές NAT όπως αυτή:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Και δεν είναι μόνο αυτό, τώρα μπορείτε να καταχωρήσετε πολλούς προωθητές, οι οποίοι θα σας βοηθήσουν να κάνετε failover dns.
Η έξυπνη επεξεργασία DNS θα καταστήσει δυνατή την έναρξη εισαγωγής του ipv6 στο δίκτυο της εταιρείας. Πριν από αυτό, δεν το έκανα αυτό, ο λόγος είναι ότι έπρεπε να επιλύσω μια σειρά από ονόματα dns σε τοπικές διευθύνσεις και στο ipv6 αυτό δεν μπορούσε να γίνει χωρίς αρκετά μεγάλα δεκανίκια.
Πηγή: www.habr.com