Я не думаю, что возможно добавить правило в ваш брандмауэр, которое динамически проверяет, идет ли соединение к домену, который разрешает этот IP.
Однако, как вы уже пытались, добавляя каждый IPу них для брандмауэра есть решение.Чтобы получить все возможные IP-адреса, я бы сделал:
// Find the authoritative nameserver
// Your local nameserver potentially only returns the cached, first record
$ dig api.mailgun.net IN SOA
;; AUTHORITY SECTION:
mailgun.net. 899 IN SOA ns-1447.awsdns-52.org. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
// Query that for all the records
$ dig +short api.mailgun.net IN A @ns-1447.awsdns-52.org.
34.200.7.26
52.200.96.214
52.73.0.101
52.21.40.223
52.86.239.198
34.232.33.59
Или вам просто нужно добавить правило, которое разрешает весь входящий трафик ответа TCP для соединений, которые вы делаете.Предполагая, что весь исходящий трафик разрешен в любом случае.
Для этого добавьте правило входящего ПРИНЯТИЯ, охватывающее эфемерный диапазон портов :
- Source / Dest IP: любой
- Порт источника: любой
- Порт назначения: 32768-65535
- Протокол: TCP
- Флаги TCP: ack