Думал как сформулировать тему, ну как получилось... Если уже было - крайне извиняюсь, значит тему следует закрыть.
Хотелось бы иметь возможность (штатными средствами) использовать в правилах межсетевого экрана, nat и всего-всего прочего списки ip адресов, которые бы наполнялись при разрешении заданных доменных имен.
Попадались два подхода:
1) Как в mikrotik - в /ip firewall address-list add address=example.com list=myiplist указывается домен и список, роутер тут же (и автоматически по ttl, если не ошибаюсь) обновляет его. Да, минус - поддомены таким образом не обрабатываются, только то, что явно указали. Зато зависит от того. использует ли клиент данный роутер как dns сервер.
2) Когда dns сервер сам при разрешении имен добавляет в таблицу адрес (dnsmasq: ipset=/example.com/example.net/myiplist) при запросе клиентом. Плюс - обрабатываются поддомены, при этом только то что реально нужно (что запросили клиенты). Но нужно заворачивать все запросы на встроенный резолвер (что уже и так есть в кинетике).
You can post now and register later.
If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.
Думал как сформулировать тему, ну как получилось... Если уже было - крайне извиняюсь, значит тему следует закрыть.
Хотелось бы иметь возможность (штатными средствами) использовать в правилах межсетевого экрана, nat и всего-всего прочего списки ip адресов, которые бы наполнялись при разрешении заданных доменных имен.
Попадались два подхода:
1) Как в mikrotik - в /ip firewall address-list add address=example.com list=myiplist указывается домен и список, роутер тут же (и автоматически по ttl, если не ошибаюсь) обновляет его. Да, минус - поддомены таким образом не обрабатываются, только то, что явно указали. Зато зависит от того. использует ли клиент данный роутер как dns сервер.
2) Когда dns сервер сам при разрешении имен добавляет в таблицу адрес (dnsmasq: ipset=/example.com/example.net/myiplist) при запросе клиентом. Плюс - обрабатываются поддомены, при этом только то что реально нужно (что запросили клиенты). Но нужно заворачивать все запросы на встроенный резолвер (что уже и так есть в кинетике).
Тут уже есть Есть ли возможность добавить в МСЭ списки IP-адресов?,, а также много про блокировку по url, что, в случае с https можно решить. используя списки ip, разрешенные из доменных имен.
Share this post
Link to post
Share on other sites