RoS-ийн хөгжүүлэгчид (тогтвортой 10-д) тусгай дүрмийн дагуу DNS хүсэлтийг дахин чиглүүлэх боломжийг олгодог функцийг нэмснээс хойш 6.47 хүрэхгүй жил өнгөрчээ. Хэрэв өмнө нь галт хананд Layer-7 дүрмээс зайлсхийх шаардлагатай байсан бол одоо үүнийг энгийн бөгөөд гоёмсог байдлаар хийж байна.
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Миний аз жаргал хязгааргүй!
Энэ нь бидэнд юу заналхийлж байна вэ?
Наад зах нь бид үүнтэй төстэй хачирхалтай NAT бүтцээс ангижрах болно:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Энэ нь бүгд биш, одоо та хэд хэдэн дамжуулагчийг бүртгүүлж болох бөгөөд энэ нь dns-ийн алдаа гаргахад тусална.
Ухаалаг DNS боловсруулалт нь IPv6-г компанийн сүлжээнд нэвтрүүлж эхлэх боломжийг олгоно. Үүнээс өмнө би үүнийг хийгээгүй, учир нь би олон тооны dns нэрийг орон нутгийн хаягаар шийдэх шаардлагатай болсон бөгөөд ipv6 дээр үүнийг том таяггүйгээр хийх боломжгүй байсан.
Эх сурвалж: www.habr.com