قبل أقل من 10 سنوات ، أضاف مطورو RoS (في 6.47 مستقرة) وظائف تسمح لك بإعادة توجيه استعلامات DNS وفقًا لقواعد خاصة. إذا كان من الضروري في وقت سابق المراوغة بقواعد Layer-7 في جدار الحماية ، فقد تم ذلك ببساطة وبأناقة:/ip dns static
add forward-to=192.168.88.3 regexp=".*\\.test1\\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\\.test2\\.localdomain" type=FWD
ليس هناك حد لسعادتي!كيف يهددنا هذا؟
على الأقل ، نتخلص من تراكيب NAT الغريبة مثل هذا:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\\x07contoso\\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
وهذا ليس كل شيء ، الآن يمكنك تسجيل العديد من وكلاء الشحن ، مما سيساعد على جعل DNS الفشل.ستمكنك معالجة DNS الذكية من البدء في تنفيذ ipv6 في شبكة شركتك. قبل ذلك لم أفعل ذلك ، والسبب هو أنني بحاجة إلى حل عدد من أسماء نظام أسماء النطاقات إلى عناوين محلية ، وفي IPv6 لا يمكن القيام بذلك دون عكازات كبيرة جدًا.