Маршрутизация по доменному имени, как сделать?

Question

[TapakaLLIko]

Собственно как направлять трафик при обращению к домену или при нахождении данного домена в списке исключения. Например при обращении к домену xxx.yyy идти на такой то маршрут следования.

Answer 1

[Руслан Федосеев]

Вот если на ваш вопрос отвечать в лоб - то никак. Маршрутизация ничего не знает про доменные имена, она работает с адресами.
Первый вариант - dig xxx.yyy, получить адрес домена и дальше строить маршрутизацию на этот адрес. Минус - обеспечивать правильность адреса нужно самостоятельно. Например генерить правила раз в сутки. Или раз в час. Или раз в месяц. Все зависит от "стабильности" адреса связанного с доменом.
Второй вариант. Скорее всего вам необходимо сделать обход блокировки сайта. Или наоборот заблокировать. Ставите транспарент прокси и уже на ней рулите трафиком для нужных сайтов. В этот же вариант относятся всякие L7 фильтры, умные железки и тп..

Comments

[TapakaLLIko]

Прокси к сожалению не подходит.
Может как вариант маркировать пакеты, которые содержат, в заголовке имя домена и по данной маркировке принимать решение куда его отправлять ?

[Руслан Федосеев]

в заголовке чего?

[CityCat4]

TapakaLLIko: Имя домена не содержится ни в каком заголовке. Про DNS что-нибудь слышали? :) Специально для преобразования имен в адреса. Вам нужно будет самим отрезолвить адрес по имени и построить маршрут к данному адресу через тот шлюз, который нужен.
Но если Вы для обхода блокировки, то тут Вас могут ожидать неприятные сурпризы:
- провайдер дропает DNS-запросы, если они запрашивают резолв некоего сайта
- провайдер перенаправляет пакеты, которые направлены на некий сайт к себе на заглушку

Answer 2

[Ziptar]

Напрямую - никак.
И Layer7 тут не помощник, т.к. DNS-запрос посылается только при первом обращении к ресурсу, всё остальное время (пока жив днс-кэш) софт работает с ip.

Можно лишь попытаться составить список доменных имён, обновлять периодически их ip-адреса на маршрутизаторе, составляя списки, и уже с этими списками работать. Для клиентов в локальной сети перехватывать через L7 запросы к DNS, и подменять на те адреса, что есть у роутера. Хотя стоит учитывать, что в случае использования клиентами DNSCrypt - перехватить не получится.
На микротиках реализуемо, хотя и нетривиально.