Chưa đầy 10 năm đã trôi qua kể từ khi các nhà phát triển RoS (trong phiên bản ổn định 6.47) thêm chức năng cho phép bạn chuyển hướng các yêu cầu DNS theo các quy tắc đặc biệt. Nếu trước đây cần phải né tránh các quy tắc Lớp 7 trong tường lửa, thì giờ đây, việc này được thực hiện một cách đơn giản và tinh tế:
/ip dns static
add forward-to=192.168.88.3 regexp=".*\.test1\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\.test2\.localdomain" type=FWD
Hạnh phúc của tôi biết không có giới hạn!
Điều này đe dọa chúng ta điều gì?
Ở mức tối thiểu, chúng tôi loại bỏ các cấu trúc NAT lạ như thế này:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\x07contoso\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Và đó không phải là tất cả, bây giờ bạn có thể đăng ký một số trình chuyển tiếp, điều này sẽ giúp thực hiện chuyển đổi dự phòng dns.
Quá trình xử lý DNS thông minh sẽ giúp bắt đầu giới thiệu ipv6 vào mạng của công ty. Trước đó, tôi đã không làm điều này, lý do là tôi cần phân giải một số tên dns thành địa chỉ cục bộ và trong ipv6, điều này không thể thực hiện được nếu không có những chiếc nạng khá lớn.
Nguồn: www.habr.com