Работа с доменными именами

[keenet07]

Давно хотелось как-то упростить для себя работу в веб-интерфейсе с ресурсами в виде доменных имен, включая домены содержащие сразу несколько IP адресов. Многие хотели простой способ фильтрации по домену.

Предположим хочу заблокировать какой-то сайт для конкретного устройства, захожу в Межсетевой экран и в правиле блокировки в поле адрес назначения просто прописываю доменное имя ресурса. (например "microsoft.com").

Прошивка сама резолвит IP адрес  и если он единственный создает с ним соответствующее запрещающее правило при сохранении, а если IP адресов несколько, то несколько правил по шаблону с каждым из полученных IP адресов ресурса. Так же нужно решить как-то вопрос с дополнением списка IP адресов повторными запросами к DNS либо в автоматическом, либо в ручном режиме (кнопочка refresh resolve в режиме редактирования правила) с последующим добавлением соответствующих правил с новыми IP адресами которые могут быть получены в их результате. Да, адресов у некоторых доменов может быть очень много. (Ну а иначе как с этим работать? Вроде как прошивка не умеет по принципу DPI доставать из пакетов доменные имена ресурсов к которыми идёт обращение. Во всяком случае, взаимодействие с этим из веб-интерфейса не реализовано.). Для удобства в каждом созданном правиле в поле описание добавляется изначальное доменное имя ресурса.

Edited October 21, 2020 by keenet07

[keenet07]

Пользовательскими скриптами уже реализовано в части работы с маршрутизацией через VPN. Но хотелось бы встроенный инструмент который можно применять в том числе и в межсетевом экране. С усовершенствованной функцией обновления записей.

[Panda777]

Поддерживаю

[AlexCoaper]

Поддерживаю

любой дешманский роутер такое умеет, у меня на старом DIR-300 C1 и то было.

добавил сайт и потом  правило переключателем вкл/выкл

в роутере за 15 тысяч рублей НЕ может НЕ быть такой функции

если роутер такое простое дейсвие не умеет - это барахло а не роутер

[keenet07]

Скорее всего для реализации данной возможности понадобятся группы(списки) адресов. Для того чтобы на уровне конфига и в веб-интерфейсе это не выглядело как множество повторяющихся правил блокировки с разными IP. Достаточно будет одного правила где вместо адреса будет список из IP адресов. А блокировка самого списка это уже внутренняя кухня самого устройства.

 Так же нужно подумать каким образом из этих списков вычищать когда-то добавленные, но больше не используемые IP адреса для доменов. Иначе в конечном итоге их там может накопиться много, но какие-то из адресов уже потеряют актуальность. Возможно для каждого адреса в списке понадобится такой параметр, как время активности/не активности. Т.е. если при резолвинге домена какой-то из IP адресов больше не попадается уже какое-то продолжительное время, то его можно удалить из списка, как возможно больше не используемый. 

Про необходимость механизма периодического обновления/пополнения списка IP адресов я вроде упоминал. Но можно привязать его к обычному штатному DNS запросу. Т.е. когда пользователь обращается к сайту, происходит DNS запрос через роутер, а он уже исходя из DNS ответа дополняет список для этого домена (если он создан) новыми IP адресами.

При удалении последнего правила где список используется удаляется и сам список. 

[Evil_Raven]

надеюсь, когда-нибудь дождусь обновы с поддержкой доменов