Хотелось бы видеть в фаерволе таблицу правил вида "домен ---> разрешение/запрет". Причём, в качестве домена не просто список аля файл hosts, а маски типа *.microsoft.com (или как это сделано в Acrylic DNS). С перенаправлением к вышестоящему серверу (например, 8.8.8.8).
То есть сначала приходит запрос как к серверу DNS, чтобы зарезолвить определённый домен. Далее фаервол, отработав в качестве DNS, запоминает полученный ip и разрешает (или запрещает) доступ к нему на некоторое время в соответствии с таблицей правил.
Если же обращения к DNS не было, а девайс ломится сразу по ip, то запрет по умолчанию или обычные правила доступа по ip и маскам.
Нюанс в том, что если два домена на одном ip, один запрещен, другой разрешен, то решение о доступе принимается как раз на основе того, какой домен резолвится. Конечно, редкая ситуация, то нюанс именно в этом.
ComodoHacker, при чём здесь это? Ничто не мешает локальному "DNS-фаерволу" использовать DoH.
Основная цель - удобная настройка доступов по белым спискам, где у тебя в таблице не голые ip, а человекопонятные домены. С поддержкой масок доменов (опять же для краткости и понятности, чтобы не запутаться).
Простой
Средний
Простой
Средний
