Заблокировать сайт dns

Содержание

Как Заблокировать Сайт На Компьютере, Чтобы Он Не Открывался В Браузере у Ребенка? – ВайФайка.РУ

Заблокировать сайт dns

Сегодня посмотрим, как заблокировать определенный сайт, чтобы он не открывался в браузере на компьютере или ноутбуке Windows.

Несмотря на все принимаемые сегодня законы о запрете определенного рода материалов для взрослых в интернете, любой хоть немного «продвинутый» пользователь с легкостью может обойти их и посетить нежелательные страницы, заблокированные в России Роскомнадзором — казино, порно, мошенников, знакомств и т.д.

Однако есть масса возможностей ограничить доступ к странице или ресурсу непосредственно на уровне компьютера или wi-fi роутера для ребенка или сотрудников фирмы. В этой статье мы детально разберем, как окончательно заблокировать от детей на компьютере или ноутбуке вход на тот или иной сайт через браузер, системный файл host в Windows или на роутере.

Способы блокировки сайта на компьютере — через браузер, wifi роутер, системные файлы Windows

Для начала перечислю основные способы, с помощью которых можно запретить доступ к любому «плохому» сайту, чтобы он не открывался в браузере на компьютере или ноутбуке. Например, , , Instagram, ВКонтакте, …

  • Заблокировать сайт в самом браузере — Yandex, Google Chrome, Opera, Mozilla Firefox или каком-либо другом.
  • Запретить доступ к странице в служебном файле hosts, находящемся в одной из системных папок Windows.
  • Ограничить посещение любого веб-ресурса через роутер сразу всем или для определенного устройства в локальной сети.

Как заблокировать сайт через компьютерный браузер?

Самый простой способ ограничить ребенка от запрещенного контента для взрослых — установить специальное расширение для браузера, с помощью которого можно заблокировать на компьютере любой сайт в интернете.

Одним из самых популярных является расширение «Block Site». Оно удобно тем, что имеется версия под все распространенные браузеры — Яндекс, Гугл Хром, Опера, Мозилла. Покажу, как работает в Chrome.

Для его установки переходим по ссылке в магазин приложений Google Chrome и ищем по названию

Жмем на кнопку «Установить» и подтверждаем свое действие

После инсталляции соглашаемся с правилами использования

И далее добавляем нежелательные адреса сайтов знакомств, мошенников или для взрослых в список заблокированных в браузере. Также в офисах часто ограничивают доступ к соцсетям Фейсбук, Одноклассникам, Ютуб, ВКонтакте, Инстаграм и другим популярным ресурсом, которые отнимают время от работы.

Также данный список можно поменять на белый. То есть наоборот, к сайтам в нем будет разрешен доступ с компьютера, а остальные будут заблокированы для посещения.

После того, как вы попытаетесь зайти в браузере на заблокированный сайт, то на экране компьютера отобразится вот такая картинка

Для того, чтобы защитить изменения списка без вашего ведома, нужно зайти в меню «Защита паролем».

Здесь доступны следующие настройки:

  • Защитить паролем доступ к изменению параметров расширения для браузера
  • Требовать пароль при посещении заблокированных на компьютере сайтов
  • Добавить дополнительный шаг для разблокировки страницы
  • Уведомлять по почте в случае попытки удаления расширения Block Site
  • Также можно настроить фильтр блокировки сайтов на компьютере по содержанию на их страницах определенных слов

    И еще один режим — «Рабочий», который позволяет установить расписание по времени, в какие именно дни и часы будет осуществляться блокировка доступа к выбранным сайтам в браузере.

    Блокировка сайтов на компьютере в системе Windows через Hosts

    Еще один способ заблокировать от детей сайт на компьютере — прописать его адрес в системном файле «hosts». Для этого заходим через проводник на диск «С» и открываем папку
    «Windows».

    Далее открываем вложенные папки «System32\drivers\etc»

    И находим файл «hosts». Для того, чтобы его открыть, кликаем по названию правой кнопкой мыши и заходим в раздел «Открыть с помощью»

    Здесь выбираем программу «Блокнот»

    Делаем в данном файле запись следующего вида

    127.0.0.1 адрессайта.ru

    127.0.0.1 — это локальный IP адрес в системе Windows, который выдает ошибку о недоступности сайта для просмотра. После него через пробел идеи адрес сайта, типа «.com», «ok.ru», «.com» и так далее. Каждый отдельный сайт пишем с новой строки

    После чего сохраняем изменения.

    Если сохранить файл не удается из-за ошибки разрешения на внесение изменений, то прочитайте нашу отдельную статью, как обойти эту блокировку.

    В результате проделанной нами работы при попытке войти на «плохой» сайт получаем вот такую пустую страницу с ошибкой

    Ограничение доступа к сайтам в интернете через DNS сервисы

    Еще одна возможность ограничить компьютер своих детей от посещения нежелательных ресурсов в интернете — использовать так называемые DNS сервисы. У нас на сайте есть подробная статья про Yandex DNS. Если вас интересует, то можете ознакомиться с данным способом подробно именно там.

    Если коротко, то в подобных сервисах есть несколько уровней доступа к тем или иным сайтам. Для защиты от мошенников или входа на сайты для взрослых можно использовать один из предложенных DNS адресов, которые необходимо указать в Windows в сетевых настройках своего сетевого адаптера. И все подобные опасные страницы будут ограничиваться для посещения еще на стороне Яндекса.

    Способы заблокировать сайты через роутер

    Перечисленные способы заблокировать страницы в интернете очень эффективны. Однако, все три варианта не удобны тем, что блокировка сайта происходит только на одном компьютере или ноутбуке.

    А если их в доме, а уж тем более в офисе, несколько? Настраивать каждый? Неудобно! Гораздо проще один раз настроить правила посещения интернет-ресурсов не в каждом отдельном браузере или ПК, а одновременно для всей локальной сети.

    Опираясь на свой опыт использования различных моделей роутеров, я выделили для себя три рабочих способа. Вот они:

    1. Использование контент-фильтров
      У каждого маршрутизатора имеется специальный функционал, который реализован немного по-разному, но смысл в нем один — вручную заблокировать один или группу доменов по ключевым словам для выбранного или опять же, целой группы устройств в сети. Называться он может контент-фильтр, или интернет-фильтр, или фильтр доменов. О нем как раз я расскажу сегодня.
    2. DNS-сервисы
      Отдельный тип онлайн сервисов, которые фильтруют контент по одному из выбранных типов содержания контента. В современных прошивках все чаще встречается встроенная поддержка таких сервисов, как Яндекс DNS или SkyDNS.
    3. Родительский контроль
      Чем-то похоже на контент-фильтры, но отличие в том, что смысл функции ограничить разрешенное время пользования интернетом.

    В статьях на блоге мы подробнейшим образом поговорим о каждом из этих методов и рассмотрим их применение на различных моделях wifi роутеров. А в качестве примера я бы хотел показать, как работает функция блокировки сайтов на роутерах Netis. Здесь она называется «Контроль доступа». В нем три раздела:

    • Фильтр по IP адресу
    • Фильтр по MAC адресу
    • и фильтр доменов

    В этой статье нас интересует именно последний пункт — «Фильтр доменов», так как именно в нем реализован запрет на доступ к тем или иным веб-ресурсам.

    Инструкции по блокировке сайтов на роутерах:

    • Asus
    • Zyxel Keenetic
    • D-Link
    • Xiaomi

    , как заблокировать сайты через роутер

    Источник: https://wifika.ru/zashhita-lokalnoy-seti-routera-blokirovka-saytov-yandex-dns.html

    5 бесплатных dns интернет-фильтров

    Заблокировать сайт dns

    » IT

    DNS интернет-фильтр — это интернет сервис, который позволяет фильтровать нежелательные серверы в интерент по их доменным именам. Например сайт www.virus.org — распространяет вирус на компьютеры пользователей, которые на него заходят.

    Если у такого пользователя будет подключен интернет-фильтр на основе DNS то вместо зараженного сайта пользователь увидит сообщение о блокировке опасного сайта.

     То же самое произойдет с поддельным сайтом, который попытается украсть ваши пароли от соцсетей или номера кредитных карт. 

    Еще одной сферой применения подобных фильтров является детская безопасность в интернет. Подобные сервисы позволяют включить блокировку не только сайтов с порнографией и насилием, но так же и сайты содержащие любые ссылки на них. Бонусом, некоторые интернет-фильтры могут блокировать и назойливую интернет-рекламу.

    Значительным преимуществом является отсутствие необходимости в установке какого либо программного обеспечения на защищаемый компьютер. Все, что необходимо сделать — это прописать в настройках сетевого подключения компьютера нужный адрес DNS сервера, который и будет выполнять роль фильтра.

    Как работает dns-фильтр

    Сильно упрощенно это выглядит следующим образом:

    1. Пользователь вводит в строке браузера адрес сайта.
    2. Компьютер преобразует символьный адрес сайта в ip-адрес используя службу dns. Таким образом на сервер фильтра отправляется запрос с адресом сайта.
    3. Если адрес сайта на dns сервере не находится в черном списке, то компьютеру пользователя передаётся ip-адрес сервера обслуживающего сайт и пользователь получает в окне браузера содержимое сайта.
    4. Если адрес сайта находится в черном списке dns сервера, то пользователю передается ip-адрес специального веб-сервера который отображает в окне браузера пользователя сообщение о блокировке узла.

    Как видите все просто и в целом достаточно эффективно. Область применения данных сервисов не ограниченна только домашними ПК.

    Если вы администратор сети предприятия то данные сервисы станут дополнительной защитой вашей сети, просто настройте резольвинг интернет-адресов вашей сети через dns-фильтр.

    Вы так же можете использовать фильтрацию на мобильных устройствах, таких как смартфоны или планшеты.

    Читайте так же:  Автоматический бэкап сайтов на VPS/VDS в облачное хранилище

    Общедоступные DNS-фильтры

    На сегодняшний день существует много подобных сервисов и большинство из них предлагают возможности фильтрации бесплатно. У многих антивирусных компаний существуют свои закрытые и публичные dns-фильтры. Далее я перечислю наиболее известные публичные сервисы, которые уже проверены временем и людьми.

    1. Публичный DNS сервер Google. Этот сервер по сути создавался не для фильтрации, а для ускорения работы интернет за счёт очень быстрого резаольвинга, но кроме того публичный dns от Google так же фильтрует фишинговые и вредоносные серверы. Кроме того данный сервер умеет работать по IPv6
      Адреса DNS Google:IPv4 8.8.8.8, 8.8.4.4

      IPv6 2001:4860:4860::8888, 2001:4860:4860::8844

    2. OpenDNS — пожалуй старейший DNS-фильтр. Есть платные и бесплатные возможности. Умеет исправлять неправильно набранные адреса сайтов, а так же показывает страницу с поиском и рекламой, в случае если адрес исправить не удалось автоматически. Имеет профили для Родительского контроля доступные бесплатно после регистрации. Без регистрации декларируется быстрый резольвинг и фильтрацию вредоносных серверов. С недавних пор является частью компании Cisco.
      Адреса DNS OpenDNS:208.67.222.222208.67.220.220

      https://www.opendns.com/

    3. SkyDNS — один из первых отечественных сервисов. Есть платные и бесплатные тарифы. Имеется возможность ручного составления черных и белых списков, блокировка сайтов по категориям, блокировка рекламы, статистика. На бесплатном тарифе урезаны возможности по ручной блокировке, статистика только за месяц и т.д. Без регистрации сервис фильтрует только фишинговые и вредоносные сайты. Есть возможности родительского контроля путем фильтрации опасных сайтов и замены поисковых систем на безопасный поиск от SkyDNS. Управление аккаунтом на сайте либо через приложение устанавливаемое на компьютер под управлением Windows.
      Адрес DNS SkyDNS:193.58.251.251

      http://www.skydns.ru

    4. Яндекс.DNS. Публичный DNS фильтр от отечественного поискового гиганта. Никакой регистрации не требуется. Предполагает 3 сценария использования 1) Быстрый и надежный резольвинг 2) Резольвинг + фильтрация опасных серверов 3) Резаольвинг + фильтрация опасных серверов + ролительский контроль. Для составления черных списков используются данные поисковой системы. Сервер поддерживает IPv6.
      Адреса DNS серверов Яндекс:БазовыйIPv4 77.88.8.8, 77.88.8.1,IPv6 2a02:6b8::feed:0ff, 2a02:6b8:0:1::feed:0ffБезопасныйIPv4 77.88.8.88, 77.88.8.2,IPv6 2a02:6b8::feed:bad, 2a02:6b8:0:1::feed:badСемейныйIPv4 77.88.8.7, 77.88.8.3,IPv6 2a02:6b8::feed:a11, 2a02:6b8:0:1::feed:a11

      http://dns.yandex.ru/advanced/

    5. 1.1.1.1 DNS Family. Приватный DNS сервер от CloudFlare. Декларируется как один из самых быстрых и приватных. Есть варианты с блокировкой вредоносных сайтов и взрослого контента.
      Адреса DNS 1.1.1.1:1.1.1.1 — быстрый приватный;1.1.1.2, 1.0.0.2 — с блокировкой вредоносных сайтов;1.1.1.3, 1.0.0.3 — с блокировкой вредоносных сайтов и взрослого контента.

      https://1.1.1.1/family/

    Читайте так же:  Перенос tempdb на другой диск

    Данный список конечно же не полный, но это, на мой взгляд наиболее интересные и популярные серверы, которые стоит использовать в качестве первой линии фильтрации и обороны домашней компьютерной сети или сети предприятия. Важно понимать, что использование данных сервисов ни в коем случае не исключает необходимость применения современных и актуальных антивирусных средств, таких как Антивирус Касперского, например ;).

    Какой dns-фильтр выбрать?

    У вас может возникнуть вопрос какой из этих сервисов выбрать. Из личного опыта могу порекомендовать следующий алгоритм выбора:

    • По скорости работы: SkyDNS, Google, Яндекс
    • По функциональным возможностям SkyDNS, OpenDNS
    • По Безопасности Яндекс, Norton, Google

    Для тестирования производительности описанных выше DNS серверов я использовал утилиту DNS Benchmark, результаты  отсортированы по времени ответа.

    Как видите из моей сети самый быстрый оказался SkyDNS, следующий за ним Google, затем сервера Яндекс (С полными фильтрами для родительского контроля). Ситуация из вашей сети, либо в другое время суток может отличаться.

    Лучше всего протестировать каждый сервис самостоятельно! У каждого сервиса свои алгоритмы построения черных списков, поэтому существует вероятность ложных блокировок надежных сайтов.

    На мой взгляд хорошей золотой серединой выглядят сервера Яндекса.

    Источник: https://www.k7d.ru/it/5-besplatnyih-dns-internet-filtrov/

    Как провайдеры блокируют доступ к сайтам | Alexis Hardware World

    Заблокировать сайт dns

    Как известно, в России, Китае и некоторых других странах повально закрывают доступ к множеству сайтов, легальных и не очень, безопасных и не очень.

     РКН не держит базу в открытом доступе, а вместо этого он предлагает провайдерам использовать цифровую подпись для доступа к базе. РКН рекомендует провайдерам обновлять базу раз в час.

    Эта база содержит список доменных имен, IP адресов и сетей, которые должны быть заблокированы.

    Провайдер, в свою очередь, скачав базу, должен перенаправлять запросы к указанных ресурсам на страницу о блокировке. Кроме того, провайдеров обязали установить программно-аппаратный комплекс «Ревизор» разработки «МФИ Софт», который автоматически проверяет доступ к запрещенным сайтам из сети провайдера. Кстати, решение было создано на базе беспроводного маршрутизатора компании TP-Link 🙂

    В итоге при обращении по определенному доменному имени или IP правила на сетевом оборудовании провайдера резолвили (разрешали) адрес заблокированного сайта в IP сервера, где находится страница с информацией о блокировке, которая пользователем и показывалась вместо ожидаемого сайта.

    Но этим все не заканчивается. Конечно же, продвинутые пользователи сразу начали обходить такую блокировку просто прописав сторонние DNS, например от Google (8.8.8.8). Но счастье продлилось недолго.

    Современные методы блокировки

    Как известно, протокол DNS не шифрует запросы  и данные передаются в открытом виде.

    Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS.

    Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.

     Если пользователь пытается перейти на несуществующий сайт, то провайдер перенаправляет его на свою страницу с рекламой. А может и не на свою.

     В наибольшей степени перехват обращений к DNS пользуются в Китае, на втором месте Россия, на третьем — США.

    Кстати, перехват DNS запросов (DNS hijacking) может использоваться и троянами для вредоносных целей.

     В 2007 году группа предприимчивых людей из Эстонии создала троян DNSChanger, который за несколько лет заразил 4 млн компьютеров по всему миру. Троян изменял системные настройки DNS, что приводило к появлению рекламы на веб-страницах.

    Также подвержены этой уязвимости и домашние модемы и роутеры (при условии, что проникнув в них, будут прописаны подставные DNS сервера).

    Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет свой подставной ответ, который обычно приходит раньше и воспринимается клиентом). Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8).

    Как бороться с перехватом DNS

    Собственно, методов защиты от перехвата два: или шифровать весь трафик, пустив его через VPN туннель или же только DNS трафик.

    Для шифрования DNS-трафика были реализованы специальные протоколы DNS over TLS (DNS поверх TLS, DoT, RFC7858) и DNS over HTTPS (DNS поверх HTTPS, DoH, RFC8484).

     Шифрование гарантирует, что трафик не просканируют и не изменят, и что запросы не получит и не обработает поддельный DNS-сервер. Это защищает от атак MiTM и шпионажа.

    Также для компаний разумно рассмотреть вариант проксирования DNS трафика. DNS-прокси с одной из этих служб (непосредственно на сетевом устройстве или на сервере в локальной сети) поможет предотвратить DNS-утечки через VPN, поскольку прокси-сервер всегда будет самым быстрым DNS-сервером среди всех доступных.

    DNS сервис от CloudFlare (1.1.1.1) использует DNS over TLS с самого начала открытия. А Google DNS начал использовать его только недавно, приблизительно в октябре 2018 года.

    До этого они поддерживали только DNS-over-HTTPS (DoH).

    Также сосуществует протокол шифрования и проксирования запросов DNSCrypt, который больше поддерживается частными DNS серверами и сообществами, чем крупнейшими DNS провайдерами.

    Для пользователей подключить DNS-шифрование не так просто, как изменить адрес в настройках сети. В настоящее время ни одна ОС напрямую не поддерживает шифрование DNS без дополнительного программного обеспечения. И не все сервисы одинаковы с точки зрения софта и производительности.

    Диспозиции сейчас такие:

    • DNSCrypt поддерживает сообщество и некоторые вендоры, среди прочих, его поддерживает OpenDNS от Cisco
    • DNS по TLS  поддерживается Сloudflare, Google, Quad9, OpenDNS
    • DNS по HTTPS поддерживается Сloudflare, Google и сервисом блокировки «взрослого» контента CleanBrowsing.

    DNS через TLS поддерживается основными поставщиками DNS, что не относится к DNSCrypt. Однако, последняя предоставляет удобную утилиту для Windows, плюс этот протокол поддерживается Яндекс. Поэтому с него и начнем.

    DNSCrypt

    DNSCrypt зашифрует с помощью стойкой эллиптической криптографии сообщения между вашим компьютером и DNS-сервером. Это защитит их от прослушки и MITM. DNSCrypt обращается за адресами напрямую на указанный вами сервер.

    Сообщество DNSCrypt создало простые в использовании клиенты, такие как Simple DNSCrypt для Windows и клиент для Apple iOS под названием DNS Cloak, что делает шифрование DNS доступнее для нетехнических людей. Другие активисты подняли независимую сеть приватных DNS-серверов на основе протокола, помогающего пользователям уклониться от использования корпоративных DNS-систем.

    Для тех, кто хочет запустить DNS-сервер с поддержкой DNSCrypt для всей своей сети, лучшим клиентом будет DNSCrypt Proxy 2. По умолчанию прокси-сервер использует открытый DNS-резолвер Quad9 для поиска и получения с GitHub курируемого списка открытых DNS-сервисов. Затем подключается к серверу с самым быстрым откликом. При необходимости можно изменить конфигурацию и выбрать конкретный сервис.

    Основное преимущество DNSCrypt в том, что он передаёт UDP-трафик по порту 443 — тот же порт используется для безопасных веб-соединений. Это даёт относительно быстрый резолвинг адресов и снижает вероятность блокировки на файрволе провайдера.

    Кроме того нативная поддержка DNSCrypt реализована в Яндекс.Браузере. При этом все запросы в зашифрованном виде будут отправляться на быстрый DNS-сервер Яндекса, который также получил поддержку протокола DNSCrypt. Правда, по умолчанию эта настройка в браузере отключена.

    DNS over TLS против DNS over HTTPS

    Сравним два эти протокола:

    DNS over TLSDNS over HTTPS
    Плюсы
    • Полное шифрование протокола DNS
    • Имеет низкое, но все большее число серверов в развертывании
    • Много реализаций, выполненные на разных этапах
    • Предоставляет больше информации, чем обычный DNS для операторов-резольверов
    • Полное шифрование протокола DNS
    • Использует стандартный HTTP/2, стандартный порт (443)
    • Меньше вероятность блокировки
    • Может быть тривиально развернут на любом веб-сервере и работать по существующим веб-сайтам;
    • Ответ DNS обрабатывается как простые веб-страницы
    • Может совместно использовать ту же инфраструктуру, что и существующие веб-сайты, и использовать одни и те же сертификаты
    • Простая реализация поверх любого существующего веб-стека
    • Совместим с кеширующим прокси и CDN
    • Позволяет веб-браузерам выполнять DNS-запросы с помощью Javascript
    • Уже реализован Google DNS (хотя и не последний проект)
    • Доступно в Firefox
    • Ведется работа по использованию DoH и CDN для повышения производительности веб-приложений.
    Минусы
    • Использует выделенный порт (853), который может быть заблокирован или контролироваться в ситуациях, когда шифрование DNS полезно
    • Первоначальное соединение происходит медленно из-за длинного рукопожатия (до тех пор, пока не будет развернуто TLS 1.3)
    • Требуется полный стек TLS, представляющий большую поверхность атаки
    • Трудно реализовать безопасно. Проверка сертификатов TLS в не-браузерном программном обеспечении
    • Легко совместим с отраслевыми стандартными устройства перехвата / контроля TLS.
    • Требуется TCP
    • Требуется отслеживание сеансов на сервере
    • Сомнительные практические преимущества перед DoH
    • Предоставляет больше информации, чем обычный DNS
    • Требуется полный стек TLS и веб-сервер
    • Инструменты перехвата / мониторинга доступны
    • Позволяет использовать небезопасные алгоритмы и параметры
    • Требуется TCP

    Как работает DNS over TLS

    DNS over TLS — это туннель, в котором посылаются запросы до выбранного вами DNS сервиса (скажем 1.1.1.1), но только если  этот DNS сервис поддерживает такое соединение. Выполняется TLS-подключение скажем на порт TCP:853.

    Проверка сертификата сервиса DNS происходит с использованием системных корневых сертификатов, точно так же как HTTPS в браузере, когда вы посещаете сайты. Это избавляет от необходимости добавлять ключи вручную.

    После того, как ключи проверенны, создается шифрованный туннель между вашим компьютером и сервисом DNS, ну а внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.

    Для реализации DNS-over-TLS предлагается клиент Stubby для Windows, MacOS и Ubuntu.

    Также из хороших новостей в Android 9 поддержка DNS-over-TLS встроена в системный DNS резолвер. В частности, в моем Huawei P20 эта настройка находится в Настройки — Беспроводные сети — Частный DNS. По умолчанию, там стоит Авто.

    Например, для того, чтобы настроить телефон на использование DNS сервиса CloudFlare, вам нужно туда прописать в качестве адреса DNS сервера:

    1dot1dot1dot1.cloudflare-dns.com

    Инструкция с картинкой доступна на официальном сайте.

    Также есть хорошая новость для владельцев роутеров Zyxel Keenetic. Начиная с версии KeeneticOS 3.00 была добавлена поддержка протоколов DNS over TLS и DNS over HTTPS. Включив один из них, DNS-трафик от роутера будет передаваться в зашифрованном виде через Интернет.

    Если вы хотите пользоваться только DNS over TLS, то достаточно будет удалить компонент «DNS-over-HTTPS proxy». Аналогично и с DNS over HTTPS, нужно удалить компонент «DNS-over-TLS». Пример настройки для CloudFlare приведен в базе знаний Zyxel.

    [Посещений: 1 265, из них сегодня: 1]

    Понравилась публикация? Почему нет? Оставь коммент ниже или подпишись на feed и получай список новых статей автоматически через feeder.

    Источник: https://hww.ru/wp/2019/09/kak-provajdery-blokirujut-dostup-k-sajtam/

    Блокирование сайтов в роутере MikroTik — asp24.ru

    Заблокировать сайт dns

    • Блокирование сайтов по имени
    • Блокирование сайтов по IP-адресу
    • Блокирование HTTPS сайтов
    • Блокирование сайтов с помощью статических DNS записей
    • Блокирование сайтов с помощью Proxy сервера

    В этой инструкции вы узнаете, как заблокировать любой сайт в роутере MikroTik, социальную сеть одноклассники, вконтакте и т.п.

    Блокирование сайтов по имени

    В MikroTik RouterOS, начиная с версии 6.36, появилась возможность указывать DNS-имена сайтов в адрес-листах, а роутер сам определяет их IP-адреса или диапазоны IP-адресов. Поэтому процесс блокировки сайтов с помощью фаервола существенно упростился.

    В RouterOS 6.36 и выше откройте меню NewTerminal и выполните следующие команды для блокировки сайтов:

    # Добавляем список запрещенных сайтов с названием BlockedSites
    /ip firewall address-list add list=BlockedSites address=.com disabled=no
    /ip firewall address-list add list=BlockedSites address=.com disabled=no
    /ip firewall address-list add list=BlockedSites address=ok.ru disabled=no# Добавляем в фаервол правило блокировки сайтов из списка BlockedSites/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment=”BlockedSites” disabled=no# Перемещаем в фаерволе правило BlockedSites вверх выше остальных правил/ip firewall filter move [find comment=”BlockedSites”] 1 # Перемещаем в фаерволе правило BlockedSites вверх выше остальных правил

    /ip firewall filter move [find comment=”BlockedSites”] 1

    Cписок запрещенных сайтов можно редактировать в меню IP – Firewall на вкладке Address Lists.

    Правило блокировки находится в меню IP – Firewall на вкладке Filter Rules.

    RouterOS по имени сайта неплохо определяет диапазоны IP-адресов, но не идеально. Мне не удалось с помощью данного способа заблокировать сайты .com и instagram.com, поскольку MikroTik нашел не все необходимые диапазоны IP-адресов. Пришлось вручную найти необходимые IP-адреса и добавить их. Как это сделать, написано ниже.

    Блокирование сайтов по IP-адресу

    Фаервол позволяет заблокировать сайт по его IP-адресу. Узнать IP-адрес сайта можно в Windows, набрав в консоли команду nslookup имя сайта, например nslookup .com.

    Чтобы выполнить команду nslookup в маршрутизаторе MikroTik, откройте меню New Terminal и выполните команду-аналог put [:resolve .com]

    Сайты социальных сетей имеют много серверов с разными IP-адресами и вышеуказанные команды могут не показать адреса всех серверов. Поэтому лучше всего с помощью онлайн сервисов whois узнать, какие сети принадлежат данной социальной сети. Например, ontakte Ltd принадлежит сеть 87.240.128.0/18 и 93.186.224.0/22.

    В поиске IP-адресов также поможет сервис bgp.he.net

    После того, как мы узнали нужные нам IP-адреса, выполните в терминале MikroTik следующие команды:

    # Добавляем список запрещенных IP-адресов с названием BlockedSites
    /ip firewall address-list add list=BlockedSites address=87.240.143.244 disabled=no
    /ip firewall address-list add list=BlockedSites address=87.240.128.0/18 disabled=no
    /ip firewall address-list add list=BlockedSites address=93.186.224.0/22 disabled=no# Добавляем в фаервол правило блокировки IP-адресов из списка BlockedSites/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment=”BlockedSites” disabled=no# Перемещаем в фаерволе правило BlockedSites вверх выше остальных правил

    /ip firewall filter move [find comment=”BlockedSites”] 1

    Блокирование социальных сетей довольно трудоемкий процесс, поскольку социальные сети открывают дубликаты своих сайтов с другими именами и IP адресами серверов. Продвинутые пользователи обходят ограничения еще с помощью сайтов анонимайзеров. Поэтому блокируя доступ к социальным сетям, вам также придется выискивать сайты анонимайзеры и тоже их блокировать.

    Блокирование HTTPS сайтов

    Сейчас в интернете много сайтов используют защищенный протокол https, который шифрует данные. Поэтому контент таких сайтов очень сложно фильтровать. В MikroTik RouterOS, начиная с версии 6.41.1, появилась возможность блокировать https-сайты (TLS трафик) с помощью расширения TLS SNI, называемого «TLS-HOST»

    Например, чтобы заблокировать сайт .com, выполните в терминале MikroTik следующие команды:

    # Добавляем в фаервол правило блокировки HTTPS сайта
    /ip firewall filter add chain=forward dst-port=443 protocol=tcp tls-host=*..com action=reject comment=”BlockHttpsSite” disabled=no# Перемещаем в фаерволе правило BlockHttpsSite вверх выше остальных правил

    /ip firewall filter move [find comment=”BlockHttpsSite”] 1

    В параметре tls-host можно указывать имена сайтов, составленных с использованием синтаксиса GLOB. Этот синтаксис используют для создания подстановочных знаков в имени сайта.

    Обратите внимание, что если фрейм TLS handshake будет фрагментирован на несколько TCP сегментов (пакетов), то невозможно будет сопоставить имя сайта и заблокировать его.

    Блокирование сайтов с помощью статических DNS записей

    Заблокировать доступ к сайту можно также, создав статическую DNS запись с названием сайта и несуществующим IP адресом для него, например 127.0.0.1. Перед именем сайта бывает автоматически приписывается www, поэтому нужно создавать две записи, например odnoklassniki.ru и www.odnoklassniki.ru

    Откройте меню NewTerminal и выполните следующие команды для блокировки одноклассников:

    /ip dns static add name=”odnoklassniki.ru” address=127.0.0.1
    /ip dns static add name=”www.odnoklassniki.ru” address=127.0.0.1

    У пользователей заблокированные сайты еще будут открываться некоторое время, потому что на компьютерах есть DNS кэш, в котором временно хранятся имена посещенных сайтов и их IP адреса. Для очистки DNS кэша на компьютере нужно запустить командную строку cmd и ввести команду ipconfig /flushdns.

    Такой способ блокирования сайтов будет работать только в том случае, если пользователь использует DNS сервер центрального роутера MikroTik. Если пользователь настроит вручную другой адрес DNS сервера, то ограничение работать не будет. Поэтому все DNS запросы необходимо завернуть на наш роутер. Для этого откройте меню New Terminal и выполните следующие команды:
    /ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect

    add chain=dstnat protocol=tcp dst-port=53 action=redirect

    Далее перейдите в меню IP – Firewall и на вкладке NAT переместите созданные правила вверх. Теперь все DNS запросы будут идти через наш роутер.

    Блокирование сайтов с помощью Proxy-сервера

    Закрыть доступ к сайтам можно также с использованием прозрачного proxy-сервера MikroTik.

    Разрешим использование прокси-сервера и настроим его. Для этого откройте New Terminal и выполните следующие команды:

    /ip proxy set enabled=yes set src-address=0.0.0.0 set port=8080 set parent-proxy=0.0.0.0 set parent-proxy-port=0 set cache-administrator=”webmaster” set max-cache-size=none set cache-on-disk=no set max-client-connections=600 set max-server-connections=600 set max-fresh-time=3d set always-from-cache=no set cache-hit-dscp=4

    set serialize-connections=no

    Делаем proxy-сервер прозрачным:

    /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

    Закрываем доступ к прокси-серверу со стороны интернета:

    /ip firewall filter add chain=input in-interface= protocol=tcp dst-port=8080 action=drop

    Вводим команду блокировки сайта:

    /ip proxy access add dst-host=www.odnoklassniki.ru action=deny

    Источник

    Источник: https://asp24.ru/mikrotik/blokirovanie-saytov-v-routere-mikrotik/

    Настройка Яндекс DNS для блокировка опасных сайтов

    Заблокировать сайт dns

    Не так давно, среди множества бесплатных ресурсов Яндекса, появился полезный сервис DNS. Который, собственно и имеет название — Яндекс.DNS. Сегодня мы разберем пожалуй главные возможности этого сервиса, его плюсы и минусы.

    Яндекс.DNS, что это?

    Это сервис, который позволяет блокировать доступ к сайтам с опасным содержанием, а также делает блокирование сайтов с содержимым для лиц старше 18-и лет.

    Как убрать капчу в Яндексе?

    После детального изучения, можно выделить такие интересные его особенности:

    1. сервис регулярно обновляет базы сайтов с вредоносным содержанием;
    2. благодаря этому, ваш компьютер будет под хорошей защитой от вирусов, во время посещения сайтов в интернете;
    3. дополнительно защищает детей от просмотра сайтов со взрослым содержанием;
    4. довольно простое подключение. Заключается в смене DNS на ПК, или другом устройстве, которое подключено к сети интернет. И главное — нет необходимости в установке дополнительных приложений.

    Например, если подключение всех устройств происходит через доступ по беспроводной точке Wi-Fi, то в настройках, на самом роутере, необходимо сменить адреса DNS на те, которые предоставляет сервис. После этого все устройства, которые подключатся к данной точке, будут защищены от любых нехороших сайтов.

    Ну а если интернет подключен к компьютеру на прямую, то все настройки меняются непосредственно на этом ПК. Все эти действия производятся довольно просто и далее, мы подробно рассмотрим каждый вариант.

    Для начала, необходимо посетить сайт этого сервиса, который находится по адресу: https://dns.yandex.ru/. Тут мы видим три колонки с адресами DNS, для разного уровня фильтрации. Выбираем тот, что нам подходит. Если выделить один из трех предоставляемых фильтров, то вверху будет показан уровень защиты, который предоставляется сервисом.

    Еще одна довольно интересная фишка, Яндекс выпускает собственную прошивку (обновление) для Wi-Fi роутеров, где есть уже все необходимые настройки.

    В данный момент DNS от Яндекса предустановлен на роутерах D-Link DIR-615 / DIR-620 и ZyXEL серии Keenetic. В ближайшее время ожидается прошивка и для других моделей и производителей роутеров.

    Хотя, надежнее всего менять настройки вручную, это не сложно, но зато намного безопаснее.

    • 77.88.8.8 — простой DNS, без фильтрации, но с высокой скоростью.
    • 77.88.8.88 — блокировка доступа к сайтам с опасным содержанием и сайтам мошенников.
    • 77.88.8.7 — кроме опасных ресурсов, блокирует и сайты с эротическим контентом.

    Настраиваем Яндекс.DNS на компьютере

    Когда у вас только один ПК, и он подключен к интернету с помощью витой пары (кабелю), или хотите защитить только конкретный компьютер, необходимо указать новый адрес DNS настроив сетевое подключение. Взгляните на панель уведомлений, там будет иконка интернета. Клацаем по ней правой кнопкой и раскрываем раздел с таким названием: «Центр управления общим доступом и сетями».

    Необходимо открыть «Изменение параметров адаптера».

    Затем смотрите, в зависимости от вашего типа подключения нужно выполнить такие действия:

    — вы присоединены к сети интернету через Wi-Fi — открываем свойства беспроводных соединений (правой кнопкой по ярлыку и выбрать «Свойства»);

    — компьютер подключен к интернету с помощью витой пары — идем в свойства подключений по локалке.

    В этих свойствах, необходимо выбрать в списке протокол TCP/IPv4 и тапнуть на кнопочку свойств. Теперь ставим галочку возле «Использовать следующие адреса DNS-серверов». Вписываем в поле «Предпочитаемый DNS», набрав новый адрес от Яндекс.DNS и клацаем кнопку «ОК», затем еще раз «ОК».

    Все, теперь ваш компьютер защищен от сайтов с опасным контентом.

    Настраиваем Яндекс.DNS на смартфоне

    Многие мобильные устройства (особенно те, на которых установлена ОС Android) позволяют менять и настраивать параметры DNS. Для примера рассмотрим, как это сделать на HTC One V, на нем установлена мобильная операционная система Android, версии 4.0.

    И так, нам нужно зайти в настройки соединения Wi-Fi. Найти там точку доступа, с которой работает данное устройство, нажать на нее и удерживать. Откроется меню, в нем необходимо нажать «Изменить сеть». Там будет пункт «Расширенные параметры», возле него ставим «чекбокс» и листаем вниз. Клацаем по «DHCP», затем выбираем «Статический».

    Листаем вниз, до пункта «DNS 1». Сюда вписываем тот DNS от Яндекс, который вам нужен и после этого нажимаем «Сохранить.

    Готово! Ваш телефон под защитой.

    Настраиваем Яндекс.DNS на беспроводном адаптере Wi-Fi

    Ничего сложного нет. В качестве примера, у нас будет роутер TP-Link TL-WR843N. В браузере, в строке адреса, необходимо набрать: 192.168.1.1. Вас перекинет в админку Wi-Fi роутера.

    В случаи ошибки, которая не позволяет зайти в настройки, посмотрите адрес с низу роутера — у вас может быть другой. Теперь нужно ввести в строках для логина и пароля данные.

    Если не меняли, с момента покупки роутера, то по умолчанию данные для входа будут: «admin» и «admin». После авторизации открываем вкладку «Network» — «WAN».

    На против «Use These DNS Servers» ставим галочку, а в поле возле «Primary DNS», вписываем нужный DNS от Яндекса. Строчкой ниже, возле «Secondary DNS», можно указать дополнительный, второй адрес от Яндекса, а можно оставить это поле пустым. Важно, там уже указаны другие DNS, то лучше всего, на случай если захотите вернуть все назад, куда-то их записать.

    Настройка роутера окончена! Лучше теперь перезагрузить Wi-Fi роутер. Но в принципе, все должно и так работать, сразу.

    Для того, чтобы прекратить использовать Яндекс.DNS, необходимо зайти в настройки на самом роутере и снять галочку напротив пункта «Use These DNS Servers» (вкладка «Network» — «WAN»), и стереть прописанные адреса от Яндекса.

    Если до этого, там были указаны другие DNS и вы их записали, то необходимо их снова по вписывать в нужные поля.

    особенность такой настройки на беспроводной точке доступа Wi-Fi состоит из того, что блокировка нежелательных сайтов будет происходить на всех компьютерах и других подключенных к точке устройствах.

    Проверяем работу Яндекс.DNS

    Проверить это можно довольно просто. Попытайтесь посетить какой-нибудь не хороший сайт, или если вы выбрали DNS, который блокирует сайты со взрослым содержанием — на сайт со взрослой тематикой. Если все работает — вместо сайта вы увидите такое сообщение:

    С какими проблемами можно столкнуться, работая через DNS от Яндекса?

    Да, есть у этого сервиса и минусы. Можно сказать, что главный минус Яндекс.DNS состоит в том, что он может заблокировать доступ к совсем безвредным и может, даже нужным сайтам. Такое иногда случается.

    Ведь данный сервис руководствуется базами опасных сайтов от Яндекса. Туда может случайно попасть даже безвинный сайт и оставаться в этой базе довольно продолжительное время.

    Хотя радует, что это случается редко, поэтому далеко не все сталкиваются с такой проблемой.

    Подведем итог

    Довольно хороший сервис, который помогает сделать интернет чище и безопаснее. А самое хорошее его предназначение — защита детей от опасного, или взрослого контента. И просто замечательный тот факт, что защита производиться на уровне сетевых настроек, без установки дополнительных приложений. Это позволяет обеспечить качественную и стабильную работу подключения к интернету.

    Источник: https://prostocomp.net/bezopasnost/nastrojka-yandeks-dns-dlya-blokirovka-opasnyx-sajtov.html

    Поделиться:
    Нет комментариев

      Добавить комментарий

      Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.