Moins de 10 ans se sont écoulés depuis que les développeurs de RoS (dans la version stable 6.47) ont ajouté une fonctionnalité permettant de rediriger les requêtes DNS conformément à des règles particulières. Si auparavant, il était nécessaire d'esquiver les règles de la couche 7 dans le pare-feu, maintenant cela se fait simplement et élégamment :
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Mon bonheur n'a pas de limites !
De quoi cela nous menace-t-il ?
Au minimum, nous nous débarrassons des constructions NAT étranges comme celle-ci :
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Et ce n'est pas tout, vous pouvez maintenant enregistrer plusieurs redirecteurs, ce qui aidera à faire basculer le DNS.
Le traitement DNS intelligent permettra de commencer à introduire l'ipv6 dans le réseau de l'entreprise. Avant cela, je ne le faisais pas, la raison en est que j'avais besoin de résoudre un certain nombre de noms DNS en adresses locales, et en ipv6 cela ne pouvait pas être fait sans des béquilles assez grandes.
Source: habr.com