Minęło mniej niż 10 lat, odkąd twórcy RoS (w wersji stabilnej 6.47) dodali funkcjonalność pozwalającą na przekierowanie żądań DNS zgodnie ze specjalnymi zasadami. Jeśli wcześniej konieczne było unikanie reguł warstwy 7 w zaporze ogniowej, teraz odbywa się to w prosty i elegancki sposób:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Moje szczęście nie zna granic!
Czym to nam grozi?
Jako minimum pozbywamy się dziwnych konstrukcji NAT, takich jak ta:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
I to nie wszystko, teraz możesz zarejestrować kilka usług przesyłania dalej, co pomoże w przełączaniu awaryjnym dns.
Inteligentne przetwarzanie DNS pozwoli rozpocząć wprowadzanie ipv6 do firmowej sieci. Wcześniej tego nie robiłem, powodem jest to, że musiałem rozwiązać wiele nazw dns na adresy lokalne, aw ipv6 nie można było tego zrobić bez dość dużych kul.
Źródło: www.habr.com