10年未満前に、RoS(安定版6.47)の開発者は、特別なルールに従ってDNSクエリをリダイレクトできる機能を追加しました。以前にファイアウォールでレイヤー7ルールを回避する必要があった場合は、今や簡単かつエレガントに行われます。/ip dns static
add forward-to=192.168.88.3 regexp=".*\\.test1\\.localdomain" type=FWD
add forward-to=192.168.88.56 regexp=".*\\.test2\\.localdomain" type=FWD
私の幸せに限りはありません!これはどのように私たちを脅かしていますか?
少なくとも、次のような奇妙なNATコンストラクトを取り除くことができます。
/ip firewall layer7-protocol
add comment="DNS Nat contoso.com" name=contoso.com regexp="\\x07contoso\\x03com"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=udp
add action=mark-packet chain=prerouting comment="mark dns contoso.com" dst-address-type=local dst-port=53 in-interface-list=DNSMASQ layer7-protocol=contoso.com new-packet-mark=dns-contoso.com passthrough=yes protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=udp to-addresses=192.0.2.15
add action=dst-nat chain=dstnat comment="DST-NAT dns contoso.com" dst-port=53 in-interface-list=DNSMASQ packet-mark=dns-contoso.com protocol=tcp to-addresses=192.0.2.15
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=udp
add action=masquerade chain=srcnat comment="mask dns contoso.com" dst-port=53 packet-mark=dns-contoso.com protocol=tcp
これだけではありません。複数のフォワーダーを登録できるようになりました。これにより、DNSフェイルオーバーの作成に役立ちます。インテリジェントDNS処理により、社内ネットワークへのipv6の実装を開始できます。その前に私はこれをしませんでした。理由は、多数のDNS名をローカルアドレスに解決する必要があったためです。ipv6では、これは非常に大きな松葉杖なしでは実行できませんでした。