Netfilter(iptables)와 대상의 DNS 호스트 이름을 사용하여 Linux에서 송신 필터링을 수행하고 싶습니다. 문제는 호스트 이름을 사용하여 규칙을 작성하면 규칙이 로드될 때만 IP 주소가 확인된다는 것입니다.
문제를 더욱 복잡하게 만드는 것은 대상이 로드 밸런싱되거나 클러스터로 리디렉션되는 경우 이러한 IP 주소가 나가는 것이 허용되지 않는다는 것입니다.
예를 들어 다음과 같이 Ubuntu 패키지 저장소에 허용된 내보내기 규칙을 추가하면
iptables -A OUTPUT -p tcp -d packages.project.org -m multiport --dports 80,443 -j ACCEPT
Netfilter는 여러 IP를 추가합니다(예: packages.project.org.herokudns.com34.xxx, 35.xxx, 44.xxx, 38.xxx로 확인).
apt update이 호스트에서 실행하면 실패하고 100% [Connecting to project-package-repository.s3.eu-west-1.amazonaws.com (51.xxx.xxx.xxx)]매우 빠르게 차단됩니다.
원래 저장소에 연결할 때 Netfilter가 이 대상을 "허용"으로 처리하도록 하는 방법이 있습니까?