ПроХостер > блог > Администрација > Микротик сплит-днс: урадили су то

Микротик сплит-днс: урадили су то

Мање од 10 година касније, програмери РоС-а (у стабилној верзији 6.47) су додали функционалност која вам омогућава да преусмерите ДНС захтеве према посебним правилима. Ако је раније било потребно избегавати правила Лаиер-7 у заштитном зиду, сада је то учињено једноставно и елегантно:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Мојој срећи нема граница!

Шта нам ово прети?

У најмању руку, ослобађамо се чудних НАТ конструкција попут ове:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

И то није све, сада можете регистровати неколико прослеђивача, што ће помоћи да се изврши ДНС фаиловер.
Интелигентна ДНС обрада ће омогућити да се почне са увођењем ипв6 у мрежу компаније. Пре тога нисам радио ово, разлог је што сам морао да разрешим један број днс имена на локалне адресе, а у ипв6 то се не може урадити без прилично великих штака.

Извор: ввв.хабр.цом