求助：如何设置既有IP段也有域名的白名单？

foolsgarden

用爱快在阿里云（境内节点）上搭了一个OpenVPN Server，结合爱快自带的认证计费来做访问控制，接了IPLC来加速对境外服务器的访问。

因为IPLC那边选的是按流量计费，控制费用的同时也为了不把自己害了，想在爱快上用白名单来控制流量。目前学到的策略有：

1、通过OpenVPN Server的Push机制，把允许走VPN的境外IP段推给客户端，这样客户端只把允许的流量走VPN。这个方式的问题是，只能是IP段，或者是域名解析出来的IP，不能是匹配的域名。还有，VPN的客户端可以不接受服务器的Push，在配置文件里控制那些流量走VPN。

2、通过ACL规则，先设定一条全局阻断的规则，再设定一条允许VPN子网IP段可以访问境外IP段的规则。同样的问题是，不支持域名匹配。像Zoom提供了完整的IP Range，但Flipgrid就只提供域名列表。

3、通过网址的黑白名单，设置白名单，这个不展开说了。这个的问题是，只对HTTP有效。我还没有理解如果白名单情况下，用户要是输入了HTTPS网址，是不是也阻断了。

要实现的场景是，对Zoom、Microsoft Team、FlipGrid、Raz-Kids、Khan Academy以及一些大学的校园网，因为它们都没有通过CDN等对国内客户提供访问加速服务，因此考虑在客户侧通过IPLC来提升访问体验。

还看到一个应用协议控制，看起来又高深一些了。为了尽快设置好，可以不担心通道被用来危害社会，特来论坛求助。我想知道，这个需求应该怎么去结合爱快自带的访问控制功能来设置，每个应用有不同的协议，不同的IP段或域名匹配。