我想使用 Netfilter (iptables) 和目标的 DNS 主机名在 Linux 上完成出口过滤器。问题是,使用主机名编写规则只会在加载规则时解析 IP 地址。
更复杂的是,如果目标是负载平衡的或重定向到集群,则这些 IP 地址不允许传出。
例如,如果我为 Ubuntu 软件包存储库添加允许的出口规则,例如:
iptables -A OUTPUT -p tcp -d packages.project.org -m multiport --dports 80,443 -j ACCEPT
Netfilter 将添加多个 IP,例如packages.project.org.herokudns.com解析为 34.xxx、35.xxx、44.xxx、38.xxx
apt update当我在此主机上 执行时,它失败并显示:100% [Connecting to project-package-repository.s3.eu-west-1.amazonaws.com (51.xxx.xxx.xxx)]并很快被阻止。
有没有办法让 Netfilter 在连接到原始存储库时将此目的地视为“允许”?