zero to není imho ale úkol MK, wildcard buď můžeš blokovat na úrovni DNS, případle L7, ale mk pokud by jsi to chtěl do firewallu, tak to linux/mk neumí a ani z principu jak funguje netfilter umět nebude. Netfilter při přidání pravidla udělá to, že přeloží IP z doménového jména na IP a zapíše to do netfilteru. Musí se nad tím připravit vyšší logika a na tu MK ani necílí (na rozdíl od Fortigate). Tyhle seznamy je třeba udržovat, aktualizovat atd.. Buď si tu logiku musí @crazyape dodělat, nebo zkusit L7/DNS filtering.
