Mikrotik split-dns: 그들이 해냈습니다

10년이 채 지나지 않아 RoS 개발자(안정적인 6.47)는 특수 규칙에 따라 DNS 쿼리를 리디렉션할 수 있는 기능을 추가했습니다. 이전에는 방화벽에서 Layer-7 규칙으로 회피해야 했지만 이제는 간단하고 우아하게 수행됩니다.

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

내 행복은 끝이 없습니다!

이것이 우리를 위협하는 것은 무엇입니까?

최소한 다음과 같은 이상한 NAT 구조를 제거합니다.

/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

그리고 이것이 전부가 아닙니다. 이제 DNS 장애 조치를 만드는 데 도움이 되는 여러 포워더를 등록할 수 있습니다.
지능형 DNS 처리를 통해 회사 네트워크에 ipv6 도입을 시작할 수 있습니다. 그 전에는 이것을하지 않았습니다. 그 이유는 여러 DNS 이름을 로컬 주소로 확인해야했고 ipv6에서는 다소 큰 목발 없이는 수행 할 수 없었기 때문입니다.

출처 : habr.com