ProHoster > Blog > Stjórnsýsla > Mikrotik split-dns: þeir gerðu það

Mikrotik split-dns: þeir gerðu það

Minna en 10 ár eru liðin frá því að þróunaraðilar RoS (í stöðugri 6.47) bættu við virkni sem gerir þér kleift að beina DNS-beiðnum í samræmi við sérstakar reglur. Ef áður var nauðsynlegt að forðast Layer-7 reglur í eldveggnum, þá er þetta gert á einfaldan og glæsilegan hátt:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Hamingja mín á sér engin takmörk!

Hvað ógnar þetta okkur?

Að minnsta kosti losnum við við undarlegar NAT-smíðar eins og þessa:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Og það er ekki allt, nú geturðu skráð nokkra framsendingar, sem mun hjálpa til við að gera dns failover.
Snjöll DNS vinnsla mun gera það mögulegt að hefja innleiðingu ipv6 á net fyrirtækisins. Áður gerði ég þetta ekki, ástæðan er sú að ég þurfti að leysa nokkur dns nöfn í staðbundin heimilisföng og í ipv6 var þetta ekki hægt að gera án frekar stórra hækja.

Heimild: www.habr.com