ProHoster > Blog > Adminisztráció > Mikrotik split-dns: megcsinálták

Mikrotik split-dns: megcsinálták

Kevesebb, mint 10 év telt el azóta, hogy az RoS fejlesztői (stabil 6.47-ben) hozzáadtak egy olyan funkciót, amely lehetővé teszi a DNS-kérések speciális szabályok szerinti átirányítását. Ha korábban ki kellett kerülni a Layer-7 szabályokat a tűzfalban, most ez egyszerűen és elegánsan történik:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Boldogságom nem ismer határokat!

Mivel fenyeget ez minket?

Legalább megszabadulunk az olyan furcsa NAT-konstrukcióktól, mint ez:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

És ez még nem minden, most már több továbbítót is regisztrálhat, ami segít a dns feladatátvételében.
Az intelligens DNS-feldolgozás lehetővé teszi az ipv6 bevezetését a vállalat hálózatába. Előtte ezt nem csináltam, ennek az az oka, hogy számos dns nevet kellett helyi címre feloldanom, és az ipv6-ban ez nem lehetett elég nagy mankók nélkül.

Forrás: will.com