ProHoster > Blog > башкаруу > Микротик сплит-днс: алар муну жасашты

Микротик сплит-днс: алар муну жасашты

RoS иштеп чыгуучулары (туруктуу 10де) атайын эрежелерге ылайык DNS суроо-талаптарын кайра багыттоого мүмкүндүк берүүчү функцияларды кошкондон бери 6.47 жылдан аз убакыт өттү. Эгерде мурда брандмауэрде Layer-7 эрежелеринен качуу керек болсо, азыр бул жөнөкөй жана жарашыктуу жасалат:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Менин бакытымда чек жок!

Бул бизди эмне менен коркутат?

Жок дегенде, биз ушул сыяктуу кызыктай NAT конструкцияларынан арылабыз:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Бул баары эмес, эми сиз бир нече экспедиторду каттай аласыз, бул dns иштен чыгууга жардам берет.
Акылдуу DNS иштетүү компаниянын тармагына ipv6 киргизүүнү баштоого мүмкүндүк берет. Буга чейин мен муну кылган эмесмин, себеби мен бир катар dns аталыштарын жергиликтүү даректерге чечишим керек болчу, ал эми ipv6да муну чоң балдаксыз жасоо мүмкүн эмес.

Source: www.habr.com