Wala pang 10 taon ang lumipas mula noong nagdagdag ang mga developer ng RoS (sa stable 6.47) ng functionality na nagbibigay-daan sa iyong i-redirect ang mga kahilingan sa DNS alinsunod sa mga espesyal na panuntunan. Kung mas maaga ay kinakailangan na umiwas sa mga panuntunan ng Layer-7 sa firewall, ngayon ito ay ginagawa nang simple at elegante:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Ang kaligayahan ko ay walang hangganan!
Ano ang banta nito sa atin?
Sa pinakamababa, inaalis namin ang mga kakaibang konstruksyon ng NAT tulad nito:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
At hindi lang iyon, maaari ka na ngayong magrehistro ng ilang mga forwarder, na makakatulong sa paggawa ng dns failover.
Ang matalinong pagpoproseso ng DNS ay magiging posible upang simulan ang pagpapakilala ng ipv6 sa network ng kumpanya. Bago iyon, hindi ko ginawa ito, ang dahilan ay kailangan kong lutasin ang isang bilang ng mga pangalan ng dns sa mga lokal na address, at sa ipv6 hindi ito magagawa nang walang malalaking saklay.
Pinagmulan: www.habr.com