Возможность добавления маршрута по домену

[Hotery 5]

Думал как сформулировать тему, ну как получилось... Если уже было - крайне извиняюсь, значит тему следует закрыть.

Хотелось бы иметь возможность (штатными средствами) использовать в правилах межсетевого экрана, nat и всего-всего прочего списки ip адресов, которые бы наполнялись при разрешении заданных доменных имен.

Попадались два подхода:

1) Как в mikrotik - в /ip firewall address-list add address=example.com list=myiplist указывается домен и список, роутер тут же (и автоматически по ttl, если не ошибаюсь) обновляет его. Да, минус - поддомены таким образом не обрабатываются, только то, что явно указали. Зато зависит от того. использует ли клиент данный роутер как dns сервер.

2) Когда dns сервер сам при разрешении имен добавляет в таблицу адрес (dnsmasq: ipset=/example.com/example.net/myiplist) при запросе клиентом. Плюс - обрабатываются поддомены, при этом только то что реально нужно (что запросили клиенты). Но нужно заворачивать все запросы на встроенный резолвер (что уже и так есть в кинетике).

Тут уже есть Есть ли возможность добавить в МСЭ списки IP-адресов?,, а также много про блокировку по url, что, в случае с https можно решить. используя списки ip, разрешенные из доменных имен.

[Le ecureuil 3,650]

Идеи мне лично как пользователю нравятся, так что голосуйте.

[Denis P 6]

Был немного удивлен что не нашел подобной темы. 

Этот функционал в базовой версии прошивки, очень бы пригодился на роутерах без USB.

Прекрасно понимаю что таблица маршрутизации это только ip адреса, а для работы с доменом нужно городить "костыль" который бы их предварительно получил.

[Le ecureuil 3,650]

Как быть с субдоменами?

[Denis P 6]

второй вариант из первого поста как раз подразумевает работу сразу же и с субдоменами, правда это нужно не всегда.

Можно сделать два варианта добавления:

1) конкретное указание домена (example.com)

2) домен + субдомены (*.example.com)

Edited February 16 by Denis P

[ankar84 116]

Добавить данный функционал в базовую прошивку было бы очень здорово и решило бы приличное количество проблем.

Но пока этого нет, рекомендую данный способ (необходимо Entware)

[Hotery 5]

а так вариант с перенаправлением на dnsmasq через 78.47.125.180:<какой-то-порт>  (ip name-server example.org 78.47.125.180#какой-то-порт) >и в dnsmasq что-то вроде port=<какой-то-порт>; ipset=/customlist вполне может работать. Кстати, прошивка (cli) блокирует указание днс резолвера на нестандартном порту на самом роутере? Видимо, для защиты чтобы на роутер сам на себя запросы не посылал? а указание нестандартного порта позже запилили и это поправить сложно\просто забыли?

[Victor_S 2]

На mikrotik давно уже сделано. Просто создаётся динамическая запись с IP resolve домена. Которая является копией существующей записи. Отлично работает.

Edited March 23 by Victor_S