Возможность добавления маршрута по домену

[Hotery 21]

Думал как сформулировать тему, ну как получилось... Если уже было - крайне извиняюсь, значит тему следует закрыть.

Хотелось бы иметь возможность (штатными средствами) использовать в правилах межсетевого экрана, nat и всего-всего прочего списки ip адресов, которые бы наполнялись при разрешении заданных доменных имен.

Попадались два подхода:

1) Как в mikrotik - в /ip firewall address-list add address=example.com list=myiplist указывается домен и список, роутер тут же (и автоматически по ttl, если не ошибаюсь) обновляет его. Да, минус - поддомены таким образом не обрабатываются, только то, что явно указали. Зато зависит от того. использует ли клиент данный роутер как dns сервер.

2) Когда dns сервер сам при разрешении имен добавляет в таблицу адрес (dnsmasq: ipset=/example.com/example.net/myiplist) при запросе клиентом. Плюс - обрабатываются поддомены, при этом только то что реально нужно (что запросили клиенты). Но нужно заворачивать все запросы на встроенный резолвер (что уже и так есть в кинетике).

Тут уже есть Есть ли возможность добавить в МСЭ списки IP-адресов?,, а также много про блокировку по url, что, в случае с https можно решить. используя списки ip, разрешенные из доменных имен.

[Le ecureuil 4,713]

Идеи мне лично как пользователю нравятся, так что голосуйте.

[Evil_Raven 0]

это бы сильно упростило жизнь, лично у меня хаус начинается с этими маршрутами как только они переваливают за 50

[Denis P 9]

Был немного удивлен что не нашел подобной темы. 

Этот функционал в базовой версии прошивки, очень бы пригодился на роутерах без USB.

Прекрасно понимаю что таблица маршрутизации это только ip адреса, а для работы с доменом нужно городить "костыль" который бы их предварительно получил.

[Le ecureuil 4,713]

Как быть с субдоменами?

[Denis P 9]

второй вариант из первого поста как раз подразумевает работу сразу же и с субдоменами, правда это нужно не всегда.

Можно сделать два варианта добавления:

1) конкретное указание домена (example.com)

2) домен + субдомены (*.example.com)

Edited February 16, 2020 by Denis P

[ankar84 125]

Добавить данный функционал в базовую прошивку было бы очень здорово и решило бы приличное количество проблем.

Но пока этого нет, рекомендую данный способ (необходимо Entware)

[Hotery 21]

а так вариант с перенаправлением на dnsmasq через 78.47.125.180:<какой-то-порт>  (ip name-server example.org 78.47.125.180#какой-то-порт) >и в dnsmasq что-то вроде port=<какой-то-порт>; ipset=/customlist вполне может работать. Кстати, прошивка (cli) блокирует указание днс резолвера на нестандартном порту на самом роутере? Видимо, для защиты чтобы на роутер сам на себя запросы не посылал? а указание нестандартного порта позже запилили и это поправить сложно\просто забыли?

[Victor_S 2]

На mikrotik давно уже сделано. Просто создаётся динамическая запись с IP resolve домена. Которая является копией существующей записи. Отлично работает.

Edited March 23, 2020 by Victor_S

[werldmgn 48]

В свете того, что началась некоторая движуха по-поводу темы  Есть ли возможность добавить в МСЭ списки IP-адресов?  То хочется напомнить и про данную тему. Фичу со списками  в МСЭ и фичу о возможности наполнения списка из резолва доменного имени для использования в маршрутах или том же МСЭ логично внедрять вместе.

[blackride 10]

16 часов назад, Evil_Raven сказал:

это бы сильно упростило жизнь, лично у меня хаус начинается с этими маршрутами как только они переваливают за 50

Голосуйте в первом сообщении - пока 45 голосов.

Edited August 5, 2020 by blackride

[blackride 10]

Up

Ребятки голосуем, очень полезная фича

[Panda777 4]

Однозначно за!

[Александр Крохмаль 3]

ЗА

[Panda777 4]

Друзья, хотелось бы уточнить по поводу данного вопроса. Будет ли это реализовано?

Не хочется микротик покупать из-за этого функционала ))

Если будет, то возникает ряд вопросов:

Если у домена есть поддомену и несколько ip, например:

(данные условные) 

site.ru

192.168.1.1

192.138.10.15

3.2.4.1

poddomen.site.ru

259.0.2.1

1. Возможно ли будет выборочно назначать маршруты или блокировать соединения по ip, домену, поддомену, порту, протоколу? То есть вариативно

2. Возможно ли будет назначать данные правила для конкретного устройства в сети выборочно? 

3. Ну и вопрос визуализации данного механизма. Т.е. В таблице правил, по итогу хотелось бы видеть и сеть, профиль, и устройство которому всё это дело назначено

Было бы здорово 👍😀

 

[Alexander Smirnov 1]

Звучит очень полезно

[Dr. Anime 1]

Люто плюсую, супер нужная вещь

[Hotery 21]

конечно, если кому это нужно, вполне возможно воткнуть флешку, в скриптах при загрузке добавлять какой-то ipset, поставить тот же dnsmasq (который умеет добавлять через ipset=mylist все что ему придет, ну и нестандартный порт, перенаправлять любым способом запросы на нужные домены на него, и , может быть /opt/etc/ndm/netfilter.d/iptables.sh или где-еще нарисовать что делать с адресами из этого списка.  Но это крайне неудобно, никак не связано с функционалом прошивки (cli или веба) + лишние сущности (dnsmasq, на который, кстати, почему-то нет возможности нормально отправлять запросы для определенных доменов - прошивка не дает указывать dns сервер на самом же роутере на нестандартном порту).

[Dr. Anime 1]

Разработчики не собираются отписаться по поводу того, что они думают на этот счет?

[keenet07 329]

В 17.07.2019 в 14:37, Le ecureuil сказал:

Идеи мне лично как пользователю нравятся, так что голосуйте.

@Dr. Anime Может быть сделают, когда сделают. ) Тут многие фичи годами висят. А потом бывает воплощаются.

Edited February 5 by keenet07

[Андрей Лещенков 0]

однозначно ап!