Возможность добавления маршрута по домену

[Hotery]

Думал как сформулировать тему, ну как получилось... Если уже было - крайне извиняюсь, значит тему следует закрыть.

Хотелось бы иметь возможность (штатными средствами) использовать в правилах межсетевого экрана, nat и всего-всего прочего списки ip адресов, которые бы наполнялись при разрешении заданных доменных имен.

Попадались два подхода:

1) Как в mikrotik - в /ip firewall address-list add address=example.com list=myiplist указывается домен и список, роутер тут же (и автоматически по ttl, если не ошибаюсь) обновляет его. Да, минус - поддомены таким образом не обрабатываются, только то, что явно указали. Зато зависит от того. использует ли клиент данный роутер как dns сервер.

2) Когда dns сервер сам при разрешении имен добавляет в таблицу адрес (dnsmasq: ipset=/example.com/example.net/myiplist) при запросе клиентом. Плюс - обрабатываются поддомены, при этом только то что реально нужно (что запросили клиенты). Но нужно заворачивать все запросы на встроенный резолвер (что уже и так есть в кинетике).

Тут уже есть Есть ли возможность добавить в МСЭ списки IP-адресов?,, а также много про блокировку по url, что, в случае с https можно решить. используя списки ip, разрешенные из доменных имен.

[Le ecureuil]

Идеи мне лично как пользователю нравятся, так что голосуйте.

[keenet07]

Почему нет? Есть VPN на роутере, есть некоторые сайты доступ к которым нужно пропускать через VPN. Доменные имена этих сайтов как правило имеют по несколько IP адресов, а ещё они частенько меняются.

Сейчас приходится прописывать маршруты к каждому IP адресу, а ещё и следить за их актуальностью. Добавлять новые, удалять старые. А ведь могло быть и проще умей роутер делать это самостоятельно. 

Вот самый рядовой пример.

 

Нужен модуль или скрипт для работы с доменами. А потом его можно прикрутить и к маршрутам и к бранмауэру.

Edited May 4 by keenet07

[Ричард Санчез]

2 часа назад, ndm сказал:

описана техническая сторона вопроса, но нет случаев из жизни

я вот хочу например сделать для себя и своих устройств централизованное решение для обхода блокировок и повышения анонимности в сети. DoT на роутере, мобильные устройства имеют vpn-подключение к роутеру, сидят в интернете через него. осталось только купить vps и поднять на нём vpn для того, чтобы выборочно трафик пропускать через него по тем или иным доменным именам. уже поставил entware и начал потихоньку курить мануалы, но хотелось бы всё-таки иметь решение от производителя.

[Evil_Raven]

это бы сильно упростило жизнь, лично у меня хаус начинается с этими маршрутами как только они переваливают за 50

[keenet07]

Сейчас нужна эта возможность как никогда. Некоторые заблокированные сайты взяли за правило менять IP адреса по несколько раз за день. Замучился добавлять маршруты через VPN к сайту вручную. 

[Denis P]

Был немного удивлен что не нашел подобной темы. 

Этот функционал в базовой версии прошивки, очень бы пригодился на роутерах без USB.

Прекрасно понимаю что таблица маршрутизации это только ip адреса, а для работы с доменом нужно городить "костыль" который бы их предварительно получил.

[Le ecureuil]

Как быть с субдоменами?

[Denis P]

второй вариант из первого поста как раз подразумевает работу сразу же и с субдоменами, правда это нужно не всегда.

Можно сделать два варианта добавления:

1) конкретное указание домена (example.com)

2) домен + субдомены (*.example.com)

Edited February 16, 2020 by Denis P

[ankar84]

Добавить данный функционал в базовую прошивку было бы очень здорово и решило бы приличное количество проблем.

Но пока этого нет, рекомендую данный способ (необходимо Entware)

[Hotery]

а так вариант с перенаправлением на dnsmasq через 78.47.125.180:<какой-то-порт>  (ip name-server example.org 78.47.125.180#какой-то-порт) >и в dnsmasq что-то вроде port=<какой-то-порт>; ipset=/customlist вполне может работать. Кстати, прошивка (cli) блокирует указание днс резолвера на нестандартном порту на самом роутере? Видимо, для защиты чтобы на роутер сам на себя запросы не посылал? а указание нестандартного порта позже запилили и это поправить сложно\просто забыли?

[Victor_S]

На mikrotik давно уже сделано. Просто создаётся динамическая запись с IP resolve домена. Которая является копией существующей записи. Отлично работает.

Edited March 23, 2020 by Victor_S

[werldmgn]

В свете того, что началась некоторая движуха по-поводу темы  Есть ли возможность добавить в МСЭ списки IP-адресов?  То хочется напомнить и про данную тему. Фичу со списками  в МСЭ и фичу о возможности наполнения списка из резолва доменного имени для использования в маршрутах или том же МСЭ логично внедрять вместе.

[blackride]

16 часов назад, Evil_Raven сказал:

это бы сильно упростило жизнь, лично у меня хаус начинается с этими маршрутами как только они переваливают за 50

Голосуйте в первом сообщении - пока 45 голосов.

Edited August 5, 2020 by blackride

[blackride]

Up

Ребятки голосуем, очень полезная фича

[Panda777]

Однозначно за!

[Александр Крохмаль]

ЗА

[Panda777]

Друзья, хотелось бы уточнить по поводу данного вопроса. Будет ли это реализовано?

Не хочется микротик покупать из-за этого функционала ))

Если будет, то возникает ряд вопросов:

Если у домена есть поддомену и несколько ip, например:

(данные условные) 

site.ru

192.168.1.1

192.138.10.15

3.2.4.1

poddomen.site.ru

259.0.2.1

1. Возможно ли будет выборочно назначать маршруты или блокировать соединения по ip, домену, поддомену, порту, протоколу? То есть вариативно

2. Возможно ли будет назначать данные правила для конкретного устройства в сети выборочно? 

3. Ну и вопрос визуализации данного механизма. Т.е. В таблице правил, по итогу хотелось бы видеть и сеть, профиль, и устройство которому всё это дело назначено

Было бы здорово 👍😀

 

[Alexander Smirnov]

Звучит очень полезно

[Dr. Anime]

Люто плюсую, супер нужная вещь

[Hotery]

конечно, если кому это нужно, вполне возможно воткнуть флешку, в скриптах при загрузке добавлять какой-то ipset, поставить тот же dnsmasq (который умеет добавлять через ipset=mylist все что ему придет, ну и нестандартный порт, перенаправлять любым способом запросы на нужные домены на него, и , может быть /opt/etc/ndm/netfilter.d/iptables.sh или где-еще нарисовать что делать с адресами из этого списка.  Но это крайне неудобно, никак не связано с функционалом прошивки (cli или веба) + лишние сущности (dnsmasq, на который, кстати, почему-то нет возможности нормально отправлять запросы для определенных доменов - прошивка не дает указывать dns сервер на самом же роутере на нестандартном порту).

[Dr. Anime]

Разработчики не собираются отписаться по поводу того, что они думают на этот счет?

[keenet07]

В 17.07.2019 в 14:37, Le ecureuil сказал:

Идеи мне лично как пользователю нравятся, так что голосуйте.

@Dr. Anime Может быть сделают, когда сделают. ) Тут многие фичи годами висят. А потом бывает воплощаются.

Edited February 5 by keenet07

[Panda777]

В 11.03.2021 в 17:23, Dr. Anime сказал:

ап

Странно что нет ответа от разработчиков

[keenet07]

Обычно это означает, что реализация либо в самых ближайших планах, либо наоборот пока даже не рассматривается. 

[Panda777]

53 минуты назад, keenet07 сказал:

Обычно это означает, что реализация либо в самых ближайших планах, либо наоборот пока даже не рассматривается. 

Ну вот и непонятно  )) 

[The_Immortal]

Ничего не понял, но точно надо!

[Andrey Andreev]

Уважаемые разработчики, хотелось бы уточнить по поводу данного вопроса. Будет ли это реализовано и в какие сроки?

[ndm]

19 minutes ago, Andrey Andreev said:

Уважаемые разработчики, хотелось бы уточнить по поводу данного вопроса. Будет ли это реализовано и в какие сроки?

Раньше как-то было посвободнее, задачи выбирали себе сами.

Голосов много, задачу отлично видно! Просьба ко всем, пожалуйста:

1. не постить "апы". 
2. описана техническая сторона вопроса, но нет случаев из жизни

[Dr. Anime]

On 5/4/2021 at 8:34 AM, ndm said:

описана техническая сторона вопроса, но нет случаев из жизни

Что вы имеете в виду под случаями из жизни?

[Denis P]

В 04.05.2021 в 10:34, ndm сказал:

Раньше как-то было посвободнее, задачи выбирали себе сами.

Голосов много, задачу отлично видно! Просьба ко всем, пожалуйста:

1. не постить "апы". 
2. описана техническая сторона вопроса, но нет случаев из жизни

Случаев из жизни как минимум два, правда второй уже относится к мсэ, но тем не менее:

1) ходить на определенные сайты/сервисы через другое подключение (VPN или второго провайдера)

2) блокировать/разрешать доступ к ресурсам/спискам по домену для определенного клиента