ProHoster > Blog > yönetim > Mikrotik split-dns: başardılar

Mikrotik split-dns: başardılar

RoS geliştiricilerinin (kararlı 10'de) DNS isteklerini özel kurallara göre yeniden yönlendirmenize izin veren işlevsellik eklemesinin üzerinden 6.47 yıldan az bir süre geçti. Daha önce güvenlik duvarında Katman-7 kurallarından kaçmak gerekliyse, şimdi bu basit ve zarif bir şekilde yapılıyor:

/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD

Mutluluğum sınır tanımıyor!

Bu bizi neyle tehdit ediyor?

En azından bunun gibi garip NAT yapılarından kurtuluruz:


/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp

Hepsi bu kadar da değil, artık dns yük devretmesine yardımcı olacak birkaç ileticiyi kaydedebilirsiniz.
Akıllı DNS işleme, ipv6'yı şirketin ağına sokmaya başlamayı mümkün kılacaktır. Ondan önce bunu yapmadım, bunun nedeni birkaç dns adını yerel adreslere çözmem gerekiyordu ve ipv6'da bu oldukça büyük koltuk değnekleri olmadan yapılamıyordu.

Kaynak: habr.com