Kurang dari 10 tahun telah berlalu sejak pengembang RoS (di stable 6.47) menambahkan fungsionalitas yang memungkinkan Anda untuk mengarahkan ulang permintaan DNS sesuai dengan aturan khusus. Jika sebelumnya perlu mengelak dengan aturan Layer-7 di firewall, sekarang ini dilakukan dengan sederhana dan elegan:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Kebahagiaan saya tidak mengenal batas!
Dengan apa ini mengancam kita?
Minimal, kami menyingkirkan konstruksi NAT yang aneh seperti ini:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Dan itu belum semuanya, sekarang Anda dapat mendaftarkan beberapa forwarder, yang akan membantu membuat dns failover.
Pemrosesan DNS yang cerdas akan memungkinkan untuk mulai memperkenalkan ipv6 ke jaringan perusahaan. Sebelumnya, saya tidak melakukan ini, alasannya adalah saya perlu menyelesaikan sejumlah nama dns ke alamat lokal, dan di ipv6 ini tidak dapat dilakukan tanpa kruk yang agak besar.
Sumber: www.habr.com