Il y a moins de 10 ans, les développeurs de RoS (dans la version stable 6.47) ont ajouté des fonctionnalités qui vous permettent de rediriger les requêtes DNS conformément à des règles spéciales. S'il était auparavant nécessaire d'esquiver les règles de la couche 7 dans le pare-feu, maintenant cela se fait simplement et avec élégance:/ip dns static
add forward-to=192.168.88.3 regexp=".*\\.test1\\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\\.test2\\.localdomain" type=FWD
Il n'y a pas de limite à mon bonheur!Comment cela nous menace-t-il?
À tout le moins, nous nous débarrassons des constructions NAT étranges comme celle-ci:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\\x07contoso\\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Et ce n'est pas tout, vous pouvez maintenant enregistrer plusieurs redirecteurs, ce qui contribuera au basculement DNS.Le traitement DNS intelligent vous permettra de commencer à implémenter ipv6 dans le réseau de votre entreprise. Avant cela, je ne l'ai pas fait, la raison en est que je devais résoudre un certain nombre de noms DNS en adresses locales, et en ipv6, cela ne pourrait pas être fait sans des béquilles assez grandes.