ProHoster > blog > administratie > Mikrotik split-dns: ze hebben het gedaan

Mikrotik split-dns: ze hebben het gedaan

Nog geen 10 jaar later hebben de ontwikkelaars van RoS (in stabiele 6.47) functionaliteit toegevoegd waarmee u DNS-verzoeken kunt omleiden volgens speciale regels. Als het eerder nodig was om Layer-7-regels in de firewall te omzeilen, wordt dit nu eenvoudig en elegant gedaan:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Mijn geluk kent geen grenzen!

Waarmee bedreigt dit ons?

We verwijderen op zijn minst vreemde NAT-constructies zoals deze:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

En dat is nog niet alles, u kunt nu meerdere doorstuurservers registreren, wat zal helpen bij het maken van dns-failover.
Intelligente DNS-verwerking zal het mogelijk maken om ipv6 in het bedrijfsnetwerk te introduceren. Voordien deed ik dit niet, de reden is dat ik een aantal dns-namen moest ontbinden naar lokale adressen, en in ipv6 kon dit niet zonder behoorlijk grote krukken.

Bron: www.habr.com