RoS இன் டெவலப்பர்கள் (நிலையான 10 இல்) சிறப்பு விதிகளின்படி DNS கோரிக்கைகளைத் திருப்பிவிட உங்களை அனுமதிக்கும் செயல்பாட்டைச் சேர்த்ததிலிருந்து 6.47 ஆண்டுகளுக்கும் குறைவான காலம் கடந்துவிட்டது. முன்னதாக ஃபயர்வாலில் லேயர்-7 விதிகளை ஏமாற்றுவது அவசியமாக இருந்தால், இப்போது இது எளிமையாகவும் நேர்த்தியாகவும் செய்யப்படுகிறது:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
என் மகிழ்ச்சிக்கு எல்லையே இல்லை!
இது நம்மை என்ன அச்சுறுத்துகிறது?
குறைந்தபட்சம், இது போன்ற விசித்திரமான NAT கட்டுமானங்களை நாங்கள் அகற்றுவோம்:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
அதெல்லாம் இல்லை, இப்போது நீங்கள் பல ஃபார்வர்டர்களை பதிவு செய்யலாம், இது டிஎன்எஸ் தோல்வியடைய உதவும்.
நுண்ணறிவு DNS செயலாக்கமானது நிறுவனத்தின் நெட்வொர்க்கில் ipv6 ஐ அறிமுகப்படுத்துவதை சாத்தியமாக்கும். அதற்கு முன், நான் இதைச் செய்யவில்லை, காரணம், உள்ளூர் முகவரிகளுக்கு பல dns பெயர்களைத் தீர்க்க வேண்டியிருந்தது, மேலும் ipv6 இல் பெரிய ஊன்றுகோல் இல்லாமல் இதைச் செய்ய முடியாது.
ஆதாரம்: www.habr.com