10 жылдан аз уақыттан кейін RoS әзірлеушілері (тұрақты 6.47 нұсқасында) арнайы ережелерге сәйкес DNS сұрауларын қайта бағыттауға мүмкіндік беретін функционалдылықты қосты. Егер бұрын брандмауэрде Layer-7 ережелерінен жалтару қажет болса, енді бұл қарапайым және талғампаз түрде орындалады:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Менің бақытымда шек жоқ!
Бұл бізді немен қорқытады?
Кем дегенде, біз келесідей біртүрлі NAT конструкцияларынан құтыламыз:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Бұл бәрі емес, енді сіз бірнеше экспедиторларды тіркей аласыз, бұл DNS қателігін жасауға көмектеседі.
Интеллектуалды DNS өңдеуі компанияның желісіне ipv6 енгізуді бастауға мүмкіндік береді. Бұған дейін мен мұны істемедім, себебі мен жергілікті мекенжайларға бірнеше DNS атауларын шешуім керек болды, ал ipv6-да мұны үлкен балдақсыз жасау мүмкін емес еді.
Ақпарат көзі: www.habr.com