ProHoster > Blog > Administratioun > Mikrotik split-dns: si hunn et gemaach

Mikrotik split-dns: si hunn et gemaach

Manner wéi 10 Joer méi spéit hunn d'Entwéckler vu RoS (am stabile 6.47) Funktionalitéit bäigefüügt, déi Iech erlaabt DNS Ufroen no spezielle Reegele virzeleeën. Wann et virdru néideg war mat Layer-7 Regelen an der Firewall ze vermeiden, elo ass dëst einfach an elegant gemaach:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Mäi Gléck kennt keng Grenzen!

Mat wat bedroht dat eis?

Op e Minimum kréie mir komesch NAT Konstrukter wéi dësen:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

An dat ass net alles, elo kënnt Dir verschidde Forwarder registréieren, wat hëlleft dns failover ze maachen.
Intelligent DNS-Veraarbechtung wäert et méiglech maachen ipv6 an d'Firma Reseau anzeféieren. Virdrun hunn ech dat net gemaach, de Grond ass datt ech eng Zuel vun dns Nimm op lokal Adresse musse léisen, an am ipv6 konnt dat net ouni zimlech grouss Krutchen gemaach ginn.

Source: will.com