Kurang dari 10 tahun yang lalu, para pengembang RoS (di stabil 6.47) menambahkan fungsionalitas yang memungkinkan Anda untuk mengarahkan kueri DNS sesuai dengan aturan khusus. Jika sebelumnya perlu dihindar dengan aturan Layer-7 di firewall, sekarang hal itu dilakukan dengan sederhana dan elegan:/ip dns static
add forward-to=192.168.88.3 regexp=".*\\.test1\\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\\.test2\\.localdomain" type=FWD
Tidak ada batasan untuk kebahagiaanku!Bagaimana ini mengancam kita?
Paling tidak, kami menyingkirkan konstruksi NAT aneh seperti ini:
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\\x07contoso\\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
Dan ini belum semuanya, sekarang Anda dapat mendaftarkan beberapa forwarder, yang akan membantu membuat gagal dns.Pemrosesan DNS yang cerdas akan memungkinkan Anda untuk mulai menerapkan ipv6 di jaringan perusahaan Anda. Sebelum itu saya tidak melakukan ini, alasannya adalah bahwa saya perlu menyelesaikan sejumlah nama dns ke alamat lokal, dan di ipv6 ini tidak dapat dilakukan tanpa kruk yang cukup besar.