ProHoster > Blogi > Haldamine > Mikrotik split-dns: nad tegid seda

Mikrotik split-dns: nad tegid seda

Vähem kui 10 aastat on möödas sellest, kui RoS-i (stabiilses versioonis 6.47) arendajad lisasid funktsionaalsuse, mis võimaldab DNS-i päringuid vastavalt erireeglitele ümber suunata. Kui varem tuli tulemüüris Layer-7 reeglitest kõrvale hiilida, siis nüüd tehakse seda lihtsalt ja elegantselt:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Minu õnnel pole piire!

Millega see meid ähvardab?

Vähemalt vabaneme kummalistest NAT-konstruktsioonidest, nagu see:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Ja see pole veel kõik, nüüd saate registreerida mitu ekspediitorit, mis aitab dns-i tõrkevahetust teha.
Intelligentne DNS-i töötlemine võimaldab alustada ipv6 juurutamist ettevõtte võrku. Enne seda ma seda ei teinud, põhjus on selles, et mul oli vaja lahendada mitmeid dns-i nimesid kohalikele aadressidele ja ipv6-s ei saanud seda ilma üsna suurte karkudeta teha.

Allikas: www.habr.com