Kanë kaluar më pak se 10 vjet që kur zhvilluesit e RoS (në stabile 6.47) shtuan funksionalitetin që ju lejon të ridrejtoni kërkesat DNS në përputhje me rregulla të veçanta. Nëse më parë ishte e nevojshme të shmangej rregullat e Layer-7 në murin e zjarrit, tani kjo bëhet thjesht dhe elegante:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Lumturia ime nuk njeh kufi!
Çfarë na kërcënon kjo?
Së paku, ne heqim qafe konstruktet e çuditshme NAT si kjo:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Dhe kjo nuk është e gjitha, tani ju mund të regjistroni disa përcjellës, të cilët do të ndihmojnë në dështimin e dns.
Përpunimi inteligjent DNS do të bëjë të mundur fillimin e futjes së ipv6 në rrjetin e kompanisë. Para kësaj, unë nuk e bëra këtë, arsyeja është se më duhej të zgjidhja një numër emrash dns në adresat lokale, dhe në ipv6 kjo nuk mund të bëhej pa paterica mjaft të mëdha.
Burimi: www.habr.com