ProHoster > Blogs > Administrācija > Mikrotik split-dns: viņi to izdarīja

Mikrotik split-dns: viņi to izdarīja

Ir pagājuši mazāk nekā 10 gadi, kopš RoS (stabilā 6.47) izstrādātāji ir pievienojuši funkcionalitāti, kas ļauj novirzīt DNS pieprasījumus saskaņā ar īpašiem noteikumiem. Ja agrāk ugunsmūrī bija nepieciešams izvairīties no Layer-7 noteikumiem, tagad tas tiek darīts vienkārši un eleganti:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Manai laimei nav robežu!

Ar ko tas mūs apdraud?

Mēs vismaz atbrīvojamies no dīvainām NAT konstrukcijām, piemēram, šī:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Un tas vēl nav viss, tagad varat reģistrēt vairākus ekspeditorus, kas palīdzēs veikt dns kļūmjpārlēci.
Inteliģentā DNS apstrāde ļaus uzsākt ipv6 ieviešanu uzņēmuma tīklā. Pirms tam es to nedarīju, iemesls ir tāds, ka man vajadzēja atrisināt vairākus dns nosaukumus uz vietējām adresēm, un ipv6 to nevarēja izdarīt bez diezgan lieliem kruķiem.

Avots: www.habr.com