Minha rede está completamente bloqueada, exceto por alguns sites que estão na lista de permissões. Tudo isso é feito através do iptables, que se parece com isso:
# Allow traffic to google.com
iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT
iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT
iptables -A zone_lan_forward -p tcp -d 101.102.103.0/24 -j ACCEPT
iptables -A zone_lan_forward -p udp -d 101.102.103.0/24 -j ACCEPT
...
Obviamente, esses endereços são hipotéticos, mas você entendeu. Meu firewall está se tornando enorme. Seria muito mais fácil manter se eu pudesse fazer isso:
# Allow traffic to google.com
iptables -A zone_lan_forward -p tcp -d google.com -j ACCEPT
iptables -A zone_lan_forward -p udp -d google.com -j ACCEPT
Eu acredito que isso é possível, pois man iptables
diz:
O endereço pode ser um nome de rede, um nome de host (observe que especificar um nome a ser resolvido com uma consulta remota como DNS é uma péssima idéia), um endereço IP de rede (com / mask) ou um endereço IP simples.
Mas o que me preocupa é a parte que diz "especificar qualquer nome a ser resolvido com ... DNS é uma péssima idéia". Por que isso é uma má ideia? Isso apenas atrasa tudo?
Se realmente não devo usar nomes de host nas regras do iptables, o que devo fazer para simplificar meu firewall?