最近在折腾RouterOS，发现了一种相当有趣的用法，可以基于域名来选择路由。
首先，在ip/firewall/address lists中添加地址，地址可以是ip地址或者是域名，如果是域名，则RouterOS会自动进行一次域名解析，例如这样：

可以看到域名被自动解析成了ip地址，而解析出来的记录前面有个D标记，这意味着这是动态的，ip地址记录会随着dns解析记录而变更。

例子中，我就创建了一个叫做twitter.com的address list，这就可以在mangle中做点手脚了，就像这样：

我在prerouting链中添加了一个mangle，对目标地址在twitter.com列表中的路由都进行一个标记，打上一个叫做gfw的路由标记，在打上标记之后呢，就可以在路由表中，添加一个新的路由：

例子中，我有一个名字叫做gfw的接口，作用就不多说，因为是一个ppp的链接，所以gateway可以不填地址，直接填一个接口的名字，RouterOS可以处理这种情况。上图中，就是说所有打着gfw标记的路由，默认路由是走gfw这个接口。至此，全部基本设置已经完成。

这种addresslist配合mangle的用法除了策略路由还有很多其他的用法，比如说想要屏蔽某些网站，不让用户访问，这就可以在route中，选择这个unreachable的类型，这可比用web-proxy什么的实用多了，屏蔽掉的就不仅仅是80端口了，而是整个ip，无论是http还是https或者其他协议之类的，都会屏蔽掉。当然，在一些比较精细的控制方面，比如说允许访问http://www.helloworld.com但是不允许访问http://www.helloworld.com/something这种就无能为力了，只能向L7方面寻求帮助。

这种方法还有类似的，比如说传统一点，在address lists中，不用域名，而是用地址块，比如说这样：

把一整块地址加进去address lists里面，也是可以的，这样更加容易绕开方法里面的一种缺陷，因为这种方法只能对应一个域名，无法处理子域名或者使用通配符，如果是大量的域名，这会让工作变得相当的麻烦，需要脚本来进行处理。

这种方法有另外一种缺陷，就是面对着同一个域名会有大量ip地址或者是使用CDN网络的网站的时候，容易出问题，RouterOS本身缓存的dns解析地址一般来说只有2条，如果客户端使用了其他dns服务器而不是RouterOS本身作为DNS服务器的话有可能会存在这样一种情况：

RouterOS解析域名A，得到ip地址1和ip地址2，并对ip地址1和ip地址2进行了策略路由，客户端从dns服务器解析域名A，得到ip地址3和ip地址4，这种情况下，客户端访问域名A就没法得到正确的策略路由。

对应的方法很简单，只要指定RouterOS作为客户端的dns服务器就可以了。如果是有客户端想使用其他dns服务器绕过策略路由，可以使用dnat进行劫持，如果是使用dnscrypt之类的软件的话，似乎没什么好对策，毕竟就算是gfw也只能阻挡而不能污染或者劫持dnscrypt。