10 տարուց էլ պակաս ժամանակ անց RoS մշակողները (կայուն 6.47 տարբերակում) ավելացրին ֆունկցիոնալություն, որը թույլ է տալիս վերահասցեագրել DNS հարցումները հատուկ կանոնների համաձայն։ Եթե նախկինում անհրաժեշտ էր firewall-ում 7-րդ մակարդակի կանոններով շրջվել, ապա այժմ դա արվում է պարզ և նրբագեղ կերպով.
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Իմ երջանկությունը սահմաններ չունի։
Ի՞նչ է սա նշանակում մեզ համար։
Առնվազն, մենք ազատվում ենք այսպիսի տարօրինակ NAT կոնստրուկտներից՝
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Եվ սա դեռ ամենը չէ, հիմա կարող եք մի քանիսը գրել սերվերներ վերահասցեավորում, որը կօգնի DNS-ի ձախողումը կատարել։
Խելացի DNS մշակումը հնարավորություն կտա սկսել IPv6-ի ներդրումը ընկերության ցանցում։ Ես սա առաջ չեմ արել, պատճառն այն է, որ ես պետք է մի շարք DNS անուններ վերածեի տեղական հասցեների, իսկ ipv6-ում սա հնարավոր չէր անել առանց մի քանի բավականին մեծ հնարքների։
Source: www.habr.com
