Hace menos de 10 años, los desarrolladores de RoS (en la versión estable 6.47) agregaron una funcionalidad que le permite redirigir las consultas DNS de acuerdo con reglas especiales. Si antes era necesario esquivar las reglas de Layer-7 en el firewall, ahora se hace de manera simple y elegante:/ip dns static
add forward-to=192.168.88.3 regexp=".*\\.test1\\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\\.test2\\.localdomain" type=FWD
¡No hay límite para mi felicidad!¿Cómo nos amenaza esto?
Por lo menos, nos deshacemos de construcciones NAT extrañas como esta:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\\x07contoso\\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Y esto no es todo, ahora puede registrar varios reenviadores, lo que ayudará a realizar la conmutación por error de DNS.El procesamiento inteligente de DNS le permitirá comenzar a implementar ipv6 en la red de su empresa. Antes de eso no hice esto, la razón es que necesitaba resolver varios nombres de DNS a direcciones locales, y en ipv6 esto no podría hacerse sin muletas bastante grandes.