ProHoster > Blog > administração > Mikrotik split-dns: eles conseguiram

Mikrotik split-dns: eles conseguiram

Menos de 10 anos se passaram desde que os desenvolvedores do RoS (no estável 6.47) adicionaram uma funcionalidade que permite redirecionar as solicitações de DNS de acordo com regras especiais. Se antes era necessário esquivar-se das regras da Camada 7 no firewall, agora isso é feito de forma simples e elegante:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Minha felicidade não tem limites!

Com o que isso nos ameaça?

No mínimo, nos livramos de construções NAT estranhas como esta:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

E isso não é tudo, agora você pode registrar vários encaminhadores, o que ajudará a fazer o failover do DNS.
O processamento inteligente de DNS permitirá iniciar a introdução do ipv6 na rede da empresa. Antes disso, eu não fazia isso, o motivo é que precisava resolver vários nomes de DNS para endereços locais, e no ipv6 isso não podia ser feito sem muletas bastante grandes.

Fonte: habr.com