Kurang daripada 10 tahun kemudian, pembangun RoS (dalam stabil 6.47) menambah fungsi yang membolehkan anda mengubah hala permintaan DNS mengikut peraturan khas. Jika sebelum ini adalah perlu untuk mengelak dengan peraturan Layer-7 dalam firewall, kini ini dilakukan dengan mudah dan elegan:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Kebahagiaan saya tidak mengenal batas!
Apa yang mengancam kita?
Sekurang-kurangnya, kami menyingkirkan binaan NAT yang pelik seperti ini:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Dan bukan itu sahaja, kini anda boleh mendaftarkan beberapa penghantar, yang akan membantu membuat dns failover.
Pemprosesan DNS pintar akan membolehkan anda mula memperkenalkan ipv6 ke dalam rangkaian syarikat. Sebelum itu, saya tidak melakukan ini, sebabnya ialah saya perlu menyelesaikan beberapa nama dns ke alamat tempatan, dan dalam ipv6 ini tidak boleh dilakukan tanpa tongkat yang agak besar.
Sumber: www.habr.com