O necelých 10 rokov neskôr vývojári RoS (v stabilnej verzii 6.47) pridali funkcionalitu, ktorá umožňuje presmerovať DNS dotazy podľa špeciálnych pravidiel. Ak bolo predtým potrebné vyhnúť sa pravidlám vrstvy 7 vo firewalle, teraz sa to robí jednoducho a elegantne:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Moje šťastie nepozná hraníc!
Čo nám to hrozí?
Minimálne sa zbavíme podivných konštruktov NAT, ako je tento:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
A to nie je všetko, teraz môžete zaregistrovať niekoľko preposielačov, ktorí vám pomôžu pri zlyhaní dns.
Inteligentné spracovanie DNS umožní začať so zavádzaním ipv6 do firemnej siete. Predtým som to nerobil, dôvodom je, že som potreboval vyriešiť niekoľko názvov DNS na lokálne adresy a v ipv6 sa to nedalo urobiť bez dosť veľkých berlí.
Zdroj: hab.com