keenet07

Ради интереса посмотрел как блокировка по домену работает на D-LINK. Оказалось реализовано всё даже проще чем я предполагал выше. Для блокировки анализируются HTTP пакеты которые в открытом виде содержат домены сайтов с которыми идёт соединение. Ну и на основании этого принимается решение пропускать такой пакет или блокировать. Плюс в том, что простой заменой DNS сервера это не обойти. В чем же минус их решения? В том что с HTTPS трафиком это работать уже не будет. Всё их содержимое зашифровано. А сейчас практически все сайты в интернете уже работает по HTTPS. Время HTTP уже прошло. И подобную функцию из роутеров постепенно убирают. Но увидеть с каким доменом устанавливается соединение по HTTPS всё же возможно. При установке соединения в одном из пакетов обычно присутствует параметр SNI с этим содержимым. Но судя по всему для роутеров, особенно слабеньких подобная задача с отловом и контролем таких соединений является не совсем тривиальной. Так работает дорогое оборудование с системой DPI. Короче на кинетике это либо не заведётся, либо очень сильно его нагрузит.

Время не стоит на месте. Краем уха услышал, что пилится новый веб-интерфейс для роутера. Может быть там добавится чего-нибудь интересненького. Ещё больше упрощающего жизнь простого пользователя.

Забудьте вы про другие роутеры. Всё что вы там видели это полумера. Реально что-то заблокировать можно только на основе белого списка IP адресов и то это очень большая проблема. Посмотрим что напишут официальные лица.

На этом мои полномочия, всё.

К сожалению вы не понимаете с технической стороны того что пишите. Запрос в DOH ничем не отличается для роутера от обращения к любому HTTPS ресурсу. Потому-что он работает через этот порт. VPN заблокировать тоже не получится, он вообще может работать через любой произвольный порт. ТОР заблокировать? Нуну... Телеграмм уже блокировали. )) И средствами помощнее обычного роутера.

Как он должен это определять? ) Весь трафик внутри тонеля невидим для него. А внутри тонеля можно спокойно обращаться к любому DNS серверу.

Интересный вы человек. ) Роутер может попытаться что-то сделать с трафиком который идёт непосредственно через него. Всё данные и запросы идёщие в зашифрованном виде (VPN) он не видит в принципе. Для него это поток шифрованных данных к адресу VPN сервера. А всё VPN сервера заблокировать тоже не возможно.

Это не возможно. На то они и шифрованые(защищённые), что в них не влезешь с третьей стороны. А DOH ещё и заблокировать без дорогущего железа анализирующего пакеты невозможно.

Это через VPN обходится. В общем поставьте облачную IP камеру и смотрите с мобильного чем он там вместо уроков занимается. ))

Что мешает ему запустить браузер Firefox или Chrome с возможностью работы с ДНС через настроенные в них DOH сервера. Все запросы пойдут по HTTPS вообще в обход DNS роутера. Какой роутер это увидит и как остановит? ) А смышлёнок может и такую статью прочитать. Там делов то... В наше время надежно заблокировать что-то очень сложно. А захочет и VPN настроит.

на счёт Скай не знаю, а другие фильтры вполне себе работают через собственные DOH/DOT сервера. Вот если найдется что-то бесплатное с возможностью черного списка хостов и ещё и бесплатно, то можно новый фильтр просить. Ну и с поддержкой DOH/DOT. )

если смышленый ребенок что-то читал в интернете о способах блокировки хостов, то блокировка через hosts и обход фильтров с помощью другого DNS это первое что он узнал бы.

Это работает только совместно с интернет-фильтрами роутера. А их тут раз два три и обчёлся. Фильтр нужно просить новый, чтоб на основе бесплатного сервиса был.

Я же говорил, с большой долей вероятности это реализация на уровне DNS только. Примитивная и не эффективная, легко обходимая. О другом я пока нигде не слышал.

К сожалению, последнее время такое функции, как раз стараются вынести в интернет сервисы, облака и прочую ерунду доступную через интернет. (интернет-фильтры). Там это всё более настраиваемо. Может быть и бесплатное что-то можно найти.

Этот роутер может на много больше чем кажется на первый взгляд. Никакой Длинк ни в сравнение. Единственное, что пока для воплощения на нем всех желаний требуется какая-никакая квалификация для работы в командной строке. В веб-интерфейс всё вывести не реально. А малополезное или малоэффективное - расточительно. Вот пока и нет. Но чем больше "домохозяек" будет просить, тем быстрее что-то такое может появиться. )

Если на PC, то проще скрипт какой-нибудь написать который в файл hosts будет добавлять и убирать строчку 0.0.0.0 youtube.com и поместить это в планировщик заданий с указанием времени срабатывания. А остальные его мобильные устройства на это время блокировать полностью.

Полюбому только на уровне DNS запроса, что опять же легко обходится клиентом. Может быть именно поэтому этого нет в веб-интерфейсе кинетика. (очень давно вроде что-то такое было, если не ошибаюсь) Но уже в предложке есть определенные запросы на автоматизацию процесса блокировки таких мультиадресных доменов автоматом. Может быть когда-нибудь и реализуют.

Ну если очень хочется, то можно отфильтровать этот список и заблокировать в межсетевом экране целыми подсетями. Адресов будет значительно меньше, но можно и что-то другое задеть случайно.

Разве этот способ не заблокирует домен для всех устройств? Автору вроде требуется средство для одного устройства. Да и обходится легко. Прописыванием стороннего DNS на устройстве.

Расскажите по местоположению Кинетика, когда модем подключен и местоположению ПК также когда работает через модем. Может сигнал разный, чем-то заглушается когда с кинетиком работает. Можно попробовать на хороший USB кабелёк подключить модем к кинетику и отвести подальше. Поближе к зоне уверенного приема. К окну... Он вообще раньше то стабильно работал в той же конфигурации?

Переключиться на него в самом низу бокового меню?

Очень плохой пример сайта для проверки. Имеет множество IP адресов которые при обращении к нему часто меняются. Выберите сайт с единственным IP и с ним проверяйте. Правило маршрутизации вроде верно создали. Шлюз никакой писать не нужно. Проверяйте трассировкой. Если пойдет через IP VPN вместо вашего провайдера, значит работает. Проблема простого решения такого способа через веб-интерфейс в том, что прошивка не умеет сама доставать все адреса из доменов при создании правил. Всё добавлять в ручную и постоянно отслеживать.

Это и не требуется. Вставляете свою волшебную флешку и запускаете портативный клиент VPN.

Ну правильно, вы ведь только сейчас об этом написали. А до этого ни о каком шифровании трафика и речи не шло. RDP, FTP, IP камера, по умолчанию ничего не шифруется.