ProHoster > Blog > Bestjoer > Mikrotik split-dns: se diene it

Mikrotik split-dns: se diene it

Minder dan 10 jier letter hawwe de ûntwikkelders fan RoS (yn stabile 6.47) funksjonaliteit tafoege wêrtroch jo DNS-fragen kinne omliede neffens spesjale regels. As it earder nedich wie om te ûntkommen mei Layer-7-regels yn 'e firewall, no wurdt dit ienfâldich en elegant dien:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Myn lok ken gjin grinzen!

Wat driget dit ús mei?

Op syn minst reitsje wy frjemde NAT-konstruksjes lykas dizze:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

En dat is net alles, no kinne jo ferskate forwarders registrearje, wat sil helpe om dns-failover te meitsjen.
Intelligente DNS-ferwurking sil it mooglik meitsje om ipv6 te begjinnen yn it netwurk fan it bedriuw. Dêrfoar haw ik dit net dien, de reden is dat ik in oantal dns-nammen moast oplosse nei lokale adressen, en yn ipv6 koe dit net sûnder frij grutte krukken.

Boarne: www.habr.com