پرو هوسٽر > بلاگ > انتظاميه > Mikrotik split-dns: انهن ڪيو

Mikrotik split-dns: انهن ڪيو

10 سالن کان به گهٽ گذري ويا آهن جڏهن کان ڊولپر RoS جي ڊولپرز (مستحڪم 6.47 ۾) ڪارڪردگي شامل ڪئي جيڪا توهان کي اجازت ڏئي ٿي ڊي اين ايس درخواستن کي خاص ضابطن جي مطابق ريڊائريڪٽ ڪرڻ. جيڪڏهن اڳ ۾ اهو ضروري هو ته Layer-7 قاعدن سان فائر وال ۾ ڊاج، هاڻي اهو ٿي چڪو آهي آسان ۽ خوبصورت طور تي:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

منهنجي خوشي جي ڪا حد ناهي!

هي اسان کي ڇا خطرو آهي؟

گهٽ ۾ گهٽ، اسان هن وانگر عجيب NAT تعميرات کان نجات حاصل ڪندا آهيون:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

۽ اهو سڀ ڪجهه ناهي، هاڻي توهان ڪيترن ئي فارورڊرز کي رجسٽر ڪري سگهو ٿا، جيڪي ڊي اين ايس کي ناڪام ڪرڻ ۾ مدد ڪندا.
ذھني DNS پروسيسنگ ان کي ڪمپني جي نيٽ ورڪ ۾ ipv6 متعارف ڪرائڻ شروع ڪرڻ ممڪن بڻائيندو. ان کان اڳ، مون اهو نه ڪيو هو، ان جو سبب اهو آهي ته مون کي مقامي پتي تي ڪيترن ئي dns نالن کي حل ڪرڻ جي ضرورت هئي، ۽ ipv6 ۾ اهو نه ٿي سگهي ٿو بلڪه وڏي ڪرچ کان سواء.

جو ذريعو: www.habr.com