Запрос функции: Поддержка подстановочных знаков в DNS для списков адресов

Как бы вы это реализовали? Это правило решит проблему с принуждением клиента использовать DNS роутера.  
/ip firewall nat  
add action=dst-nat chain=dstnat dst-port=53 protocol=udp to-addresses=192.168.255.1 to-ports=53  

Теперь блокируем сайты по маске DNS. Работает так:  
/ip dns static  
add address=127.0.0.1 regexp="^*facebook.com\$"  

Но я хочу белый список для wildcard DNS, а не блокировать его.

Да ну же... Мой 10-летний Asus RT-N16 с модифицированной прошивкой на базе Tomato от Shibby с этим справляется легко, а мой новый Mikrotik RB952Ui-5ac2nD — НЕ МОЖЕТ... Печально.

Чёрт, я только что столкнулся с этим. Есть ли шанс увидеть это в ROS 7? Было бы очень полезно.

Единственный способ, как я могу представить, чтобы это работало — если кэш DNS будет проверять имена хостов по маске и обновлять список адресов, если что-то найдёт. Но в отличие от TLS-хоста это не будет надёжно, потому что нет гарантии, что клиент использует роутер как резолвер. Мне кажется, идея с использованием кэша DNS вполне неплохая. Может, мы можем использовать кэш DNS для проверки или "ловить" DNS-ответы, чтобы обновлять список адресов? Я заметил, что в последней версии Checkpoint firewall R80.40 есть функция под названием «DNS Passive Learning», которая тоже требует, чтобы DNS-трафик проходил через файрвол.