Как запретить доступ к ютубу для одного компьютера/планшета/телефона в локальной сети

[AlexCoaper]

собственно сабж. 

skydns - не предлагать - он платный

блокировать по IP не предлагать - у ютуба несколько тысяч IP (https://myip.ms/browse/sites_history/1/txt/youtube.com/siteID/3)

Изменено 14 декабря, 2020 пользователем AlexCoaper

[Илья Картавенко]

Только что, AlexCoaper сказал:

не, еще не вырос и не добрался, всего 12 )

Возраст не помеха.

[keenet07]

2 минуты назад, AlexCoaper сказал:

именно - бесполезное барахло, которое НЕ работает совместно с  DOH / DOT уставновленными вручную

на счёт Скай не знаю, а другие фильтры вполне себе работают через собственные DOH/DOT сервера. Вот если найдется что-то бесплатное с возможностью черного списка хостов и ещё и бесплатно, то можно новый фильтр просить. Ну и с поддержкой DOH/DOT. )

[AlexCoaper]

4 minutes ago, keenet07 said:

на счёт Скай не знаю, а другие фильтры вполне себе работают через собственные DOH/DOT сервера. Вот если найдется что-то бесплатное с возможностью черного списка хостов и ещё и бесплатно, то можно новый фильтр просить. Ну и с поддержкой DOH/DOT. )

да что то у меня не доверия пока ни к кому кроме cloudflare, судя по прессе и личным ощущениям - они не замешаны ни в одном сливе данных,
да и в скандалах с утечками вроде не фигурируют, в отличие от других(гугл и иже с ними)
и  DOH / DOT из коробки бесплатно
и скорость ответа приемлемая

Изменено 14 декабря, 2020 пользователем AlexCoaper

[keenet07]

8 минут назад, AlexCoaper сказал:

не сможет, разрешен только тот днс который указан в роутере

Что мешает ему запустить браузер Firefox или Chrome с возможностью работы с ДНС через настроенные в них DOH сервера. Все запросы пойдут по HTTPS вообще в обход DNS роутера. Какой роутер это увидит и как остановит? ) А смышлёнок может и такую статью прочитать. Там делов то... 

В наше время надежно заблокировать что-то очень сложно. А захочет и VPN настроит.

Изменено 14 декабря, 2020 пользователем keenet07

[AlexCoaper]

5 minutes ago, keenet07 said:

Что мешает ему запустить браузер Firefox или Chrome с возможностью работы с ДНС через настроенные в них DOH сервера. Какой роутер это увидит и как остановит? ) А смышлёнок может и такую статью прочитать. Там делов то... 

В наше время заблокировать что-то очень сложно.

тем более нужна блокировка домена, без возможности обхода

роутер должен блочить такие запросы через  DOH / DOT, если они из внутренней сети - просто их отрубать совсем - это как минимум логично

Изменено 14 декабря, 2020 пользователем AlexCoaper

[keenet07]

Только что, AlexCoaper сказал:

тем более нужна блокировка домена, без возможности обхода

Это через VPN обходится.

В общем поставьте облачную IP камеру и смотрите с мобильного чем он там вместо уроков занимается. ))

[AlexCoaper]

1 minute ago, keenet07 said:

Это через VPN обходится.

В общем поставьте облачную IP камеру и смотрите с мобильного чем он там вместо уроков занимается. ))

я вам приведу пример - если на роутере запрещен сайт А, то с внутренней сети с заданного устройства должны автоматом запрещаться любые соединения,
к этому сайту, в том числе через защищенные соедиения, впн, и любые другие пути

как это на уровне сети должно быть сделано - это не ко мне, это к инжинерам кинетик
меня как пользователя это вообще мало интересует, я бабки забашлял, хочу получить качество

[keenet07]

4 минуты назад, AlexCoaper сказал:

роутер должен блочить такие запросы через  DOH / DOT, если они из внутренней сети - просто их отрубать совсем - это как минимум логично

Это не возможно. На то они и шифрованые(защищённые), что в них не влезешь с третьей стороны.

А DOH ещё и заблокировать без дорогущего железа анализирующего пакеты невозможно. 

[AlexCoaper]

2 minutes ago, keenet07 said:

Это не возможно. На то они и шифрованые(защищённые), что в них не влезешь с третьей стороны.

А DOH ещё и заблокировать без дорогущего железа анализирующего пакеты невозможно. 

вы не поняли, должен блочиться ЛЮБОЙ шифрованый запрос, впн итд, если он связан с заблокированым сайтом

Изменено 14 декабря, 2020 пользователем AlexCoaper

[keenet07]

Только что, AlexCoaper сказал:

я вам приведу пример - если на роутере запрещен сайт А, то с внутренней сети с заданного устройства должны автоматом запрещаться любые соединения,
к этому сайту, в том числе через защищенные соедиения, впн, и любые другие пути

как это на уровне сети должно быть сделано - это не ко мне, это к инжинерам кинетик
меня как пользователя это вообще мало интересует, я бабки забашлял, хочу получить качество

Интересный вы человек. ) Роутер может попытаться что-то сделать с трафиком который идёт непосредственно через него. Всё данные и запросы идёщие в зашифрованном виде (VPN) он не видит в принципе. Для него это поток шифрованных данных к адресу VPN сервера. А всё VPN сервера заблокировать тоже не возможно. 

[AlexCoaper]

5 minutes ago, keenet07 said:

Интересный вы человек. ) Роутер может попытаться что-то сделать с трафиком который идёт непосредственно через него. Всё данные и запросы идёщие в зашифрованном виде (VPN) он не видит в принципе. Для него это поток шифрованных данных к адресу VPN сервера. А всё VPN сервера заблокировать тоже не возможно. 

еще раз пример - читайте внимательно:

сайт А заблокирован - НЕ пускаем на него
сайт Б НЕ заблокирован - пускаем на него
попытка установить впн соединение - блокировка впн туннеля
попытка зайти по любому днс НЕ указанному в роутере - блокировка днс
попытка зайти через консоль на сайт А - блокировка
попытка использовать тор - блокировка тор
попытка через DOT/DOH  - блокировка DOT/DOH

в общем пускать только через днс указанные на роутере и на те сайты которые не заблокированы, по любым протоколам

Изменено 14 декабря, 2020 пользователем AlexCoaper

[keenet07]

2 минуты назад, AlexCoaper сказал:

вы не поняли, должен блочиться ЛЮБОЙ шифрованый запрос, впн итд, если он связан с заблокированым сайтом

Как он должен это определять? ) Весь трафик внутри тонеля невидим для него. А внутри тонеля можно спокойно обращаться к любому DNS серверу.

[AlexCoaper]

Just now, keenet07 said:

Как он должен это определять? ) Весь трафик внутри тонеля невидим для него. А внутри тонеля можно спокойно обращаться к любому DNS серверу.

вы невнимательно читаете - он туннель не должен разрешать установить

[keenet07]

6 минут назад, AlexCoaper сказал:

попытка установить впн соединение - блокировка
попытка зайти по любому днс НЕ указанному в роутере - блокировка
попытка зайти через консоль на сайт А - блокировка
попытка использовать тор - блокировка

К сожалению вы не понимаете с технической стороны того что пишите. 

Запрос в DOH ничем не отличается для роутера от обращения к любому HTTPS ресурсу. Потому-что он работает через этот порт. 

VPN заблокировать тоже не получится, он вообще может работать через любой произвольный порт.

ТОР заблокировать? Нуну... Телеграмм уже блокировали. )) И средствами помощнее обычного роутера.

Изменено 14 декабря, 2020 пользователем keenet07

[AlexCoaper]

2 minutes ago, keenet07 said:

К сожалению вы не понимаете с технической стороны того что пишите. 

Запрос в DOH ничем не отличается для роутера от обращения к любому HTTPS ресурсу. Потому-что он работает через этот порт. 

VPN заблокировать тоже не получится, он вообще может работать через любой произвольный порт.

ТОР заблокировать? Нуну...

это не моя проблема, как я уже сказал, а инженеров. я не спец по сетям

на других роутерах блокируется, тут нет - значит сломана функция

как оно там изнутри работает, меня по идее вообще не касается

Изменено 14 декабря, 2020 пользователем AlexCoaper

[AlexCoaper]

12 minutes ago, keenet07 said:

К сожалению вы не понимаете с технической стороны того что пишите. 

Запрос в DOH ничем не отличается для роутера от обращения к любому HTTPS ресурсу. Потому-что он работает через этот порт. 

VPN заблокировать тоже не получится, он вообще может работать через любой произвольный порт.

ТОР заблокировать? Нуну... Телеграмм уже блокировали. )) И средствами помощнее обычного роутера.

телегу не блокировали, а херней занимались, блокировка телеги элементарно делается - отключается кабель на пару недель,

его люди сам найдут и отпинают больно, за то что, по его вине целую страну отрубили от инета, хорошо если не убьют

а то чем РКН занимается - полная профанация, имитация бурной деятельности

Изменено 14 декабря, 2020 пользователем AlexCoaper

[keenet07]

Только что, AlexCoaper сказал:

как оно там изнутри работает, меня по идее вообще не касается

На этом мои полномочия, всё.

[Илья Картавенко]

Только что, keenet07 сказал:

На этом мои полномочия, всё.

ИИ мои тоже.

[keenet07]

4 минуты назад, AlexCoaper сказал:

на других роутерах блокируется, тут нет - значит сломана функция

Забудьте вы про другие роутеры. Всё что вы там видели это полумера.

Реально что-то заблокировать можно только на основе белого списка IP адресов и то это очень большая проблема.

Посмотрим что напишут официальные лица.

[AlexCoaper]

 

2 minutes ago, keenet07 said:

На этом мои полномочия, всё.

да я как бы давно об этом написал. деньги уплачены - функция обязана работать

во всех роутерах она есть - есть, и работает, тут она сломана, или отсутствует, или не доделана, я не знаю

как она работает, пользователей мало волнует

если бы люди даром получали роутеры - даже и речи быть бы не могло о претензиях, но тут куча бабло ввалено, за нерабочий функционал

[AlexCoaper]

3 minutes ago, keenet07 said:

Забудьте вы про другие роутеры. Всё что вы там видели это полумера.

не забуду, деньги уплачены, извольте сделать чтобы работало.

кстати в старых зухелях эта функция была насколько я знаю. она была и работала.

у кого руки чешутся, выпиливать то что работает - непонятно.

[keenet07]

Время не стоит на месте.

Краем уха услышал, что пилится новый веб-интерфейс для роутера. Может быть там добавится чего-нибудь интересненького. Ещё больше упрощающего жизнь простого пользователя.

Изменено 14 декабря, 2020 пользователем keenet07

[AlexCoaper]

6 minutes ago, keenet07 said:

Время не стоит на месте.

Краем уха услышал, что пилится новый веб-интерфейс для роутера. Может быть там добавится чего-нибудь интересненького. Ещё больше упрощающего жизнь простого пользователя.

О как, а я думал текущий, очень красивый(я не шучу) интерфейс - это новый ))) нормальный такой, в строгом стиле - оч. нравиться, и удобный

Это хорошо. вот пусть к новому интерфейсу еще блокировку по домену добавят(точнее вернут на место) сразу

Изменено 14 декабря, 2020 пользователем AlexCoaper

[keenet07]

Ради интереса посмотрел как блокировка по домену работает на D-LINK.

Оказалось реализовано всё даже проще чем я предполагал выше.

Для блокировки анализируются HTTP пакеты которые в открытом виде содержат домены сайтов с которыми идёт соединение. Ну и на основании этого принимается решение пропускать такой пакет или блокировать. Плюс в том, что простой заменой DNS сервера это не обойти. В чем же минус их решения? В том что с HTTPS трафиком это работать уже не будет. Всё их содержимое зашифровано. А сейчас практически все сайты в интернете уже работает по HTTPS. Время HTTP уже прошло. И подобную функцию из роутеров постепенно убирают. 

Но увидеть с каким доменом устанавливается соединение по HTTPS всё же возможно. При установке соединения в одном из пакетов обычно присутствует параметр SNI с этим содержимым. Но судя по всему для роутеров, особенно слабеньких подобная задача с отловом и контролем таких соединений является не совсем тривиальной. Так работает дорогое оборудование с системой DPI. Короче на кинетике это либо не заведётся, либо очень сильно его нагрузит.

Изменено 14 декабря, 2020 пользователем keenet07

[vasek00]

7 часов назад, keenet07 сказал:

Так работает дорогое оборудование с системой DPI. Короче на кинетике это либо не заведётся, либо очень сильно его нагрузит.

А если

Скрытый текст

 

 

[vasek00]

9 часов назад, AlexCoaper сказал:

попытка установить впн соединение - блокировка впн туннеля
 

Вы это серьезно, ниже пример туннеля на ПК на cloudflare warp - мне известны IP c х.х.х.1 по х.х.х.7, порт 2408 т.е. нужно правило по IP не прокатит, только по порту.

А сколько других сервисов.

 

[keenet07]

4 часа назад, vasek00 сказал:

А если

Ну вообще это больше автору должно быть интересно.

Но всё же от себя спрошу, какова реализация самой блокировки доступа к сервисам, ну скажем к youtube? Наверное чисто блокировка DNS ответа. 

Ну и настраивается ли Адгуард для конкретных устройств в сети или только для роутера в целом?

Изменено 15 декабря, 2020 пользователем keenet07

[MDP]

Каким образом ребёнок сможет hosts на компе редактировать? ...отнимите все админские права на компьютере у ребёнка. Поставьте пароль на BIOS (исключить загрузку со сторонних носителей). Пароль на локальных администраторов поставьте сложный и включите контроль учётных записей.

Я лично давно так сделал. Сам даже на компе нахожусь в группе пользователи. Это же азы информационной безопасности😃

Изменено 15 декабря, 2020 пользователем MDP

[keenet07]

6 минут назад, MDP сказал:

Каким образом ребёнок сможет hosts на компе редактировать? ...отнимите все админские права на компьютере у ребёнка. Поставьте пароль на BIOS (исключить загрузку со сторонних носителей). Пароль на локальных администраторов поставьте сложный и включите контроль учётных записей.

Я лично давно так сделал. Сам даже на компе нахожусь в группе пользователи. Это же азы информационной безопасности😃

Это всё конечно можно сделать. Только, если ребенок самостоятельный и сам скачивает с интернета игры, устанавливает их. Большинство из них просто не сможет установить без прав Администратора. Будет всё время вас дергать с паролем. Более того некоторые игры даже и не запускаются без прав Админа.

Изменено 15 декабря, 2020 пользователем keenet07

[Илья Картавенко]

17 минут назад, keenet07 сказал:

Это всё конечно можно сделать. Только, если ребенок самостоятельный и сам скачивает с интернета игры, устанавливает их. Большинство из них просто не сможет установить без прав Администратора. Будет всё время вас дергать с паролем. Более того некоторые игры даже и не запускаются без прав Админа.

Ну значит решается еще одна задача. Отучаем, таким образо,  ребенка много сидеть в компе в принципе. Приучаем его к прогулкам, книгам, спорту, здоровому образу жизни.