ProHoster > Blog > Administrazioa > Mikrotik split-dns: egin zuten

Mikrotik split-dns: egin zuten

10 urte baino gutxiago geroago, RoS-ren garatzaileek (6.47 egonkorrean) DNS kontsultak arau berezien arabera birbideratzeko aukera ematen duten funtzionalitateak gehitu zituzten. Lehenago Suebakian Layer-7 arauak saihestea beharrezkoa bazen, orain hau sinple eta dotore egiten da:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Nire zorionak ez du mugarik!

Zerrekin mehatxatzen gaitu honek?

Gutxienez, hau bezalako NAT eraikuntza bitxiak kentzen ditugu:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Eta hori ez da guztia, orain hainbat birbideratzaile erregistratu ditzakezu, eta horrek dns hutsegitea egiten lagunduko dizu.
DNS adimendunaren prozesamenduak ahalbidetuko du enpresaren sarean ipv6 sartzen hastea. Hori baino lehen, ez nuen hau egin, arrazoia da dns izen batzuk helbide lokaletara ebatzi behar nituela, eta ipv6-n hori ezin zen egin makulu handi samarrak gabe.

Iturria: www.habr.com