ProHoster > Blog > Uprava > Mikrotik split-dns: uspelo jim je

Mikrotik split-dns: uspelo jim je

Manj kot 10 let je minilo, odkar so razvijalci RoS (v stabilni različici 6.47) dodali funkcionalnost, ki omogoča preusmeritev zahtev DNS v skladu s posebnimi pravili. Če se je bilo prej treba izogibati pravilom Layer-7 v požarnem zidu, je to zdaj narejeno preprosto in elegantno:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Moja sreča ne pozna meja!

Kaj nam to grozi?

Znebimo se vsaj čudnih konstrukcij NAT, kot je ta:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

In to še ni vse, zdaj lahko registrirate več posredovalcev, kar bo pomagalo narediti dns failover.
Inteligentna obdelava DNS bo omogočila začetek uvajanja ipv6 v omrežje podjetja. Pred tem tega nisem počel, razlog je v tem, da sem moral rešiti vrsto dns imen na lokalne naslove, v ipv6 pa tega ni bilo mogoče narediti brez precej velikih bergel.

Vir: www.habr.com