ProHoster > وبلاگ > اداره > Mikrotik split-dns: آنها این کار را انجام دادند

Mikrotik split-dns: آنها این کار را انجام دادند

کمتر از 10 سال بعد، توسعه دهندگان RoS (در نسخه پایدار 6.47) عملکردی را اضافه کردند که به شما امکان می دهد درخواست های DNS را طبق قوانین خاص تغییر مسیر دهید. اگر قبلاً لازم بود از قوانین Layer-7 در فایروال طفره رود ، اکنون این کار به سادگی و به زیبایی انجام می شود:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

شادی من حد و مرزی نمی شناسد!

این ما را با چه تهدیدی تهدید می کند؟

حداقل، ما از شر ساختارهای عجیب NAT مانند این خلاص می شویم:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

و این همه چیز نیست، اکنون می توانید چندین فورواردر را ثبت کنید که به شکست dns کمک می کند.
پردازش هوشمند DNS شروع به معرفی ipv6 به شبکه این شرکت را ممکن می کند. قبل از آن، من این کار را انجام نمی دادم، دلیل آن این است که من نیاز به حل تعدادی از نام های dns به آدرس های محلی داشتم، و در ipv6 این کار بدون عصاهای نسبتاً بزرگ انجام نمی شد.

منبع: www.habr.com