Голосование за блокировку хостов (имён доменов) по файлу

[eEye]

Здравствуйте!

 

Что было:

Ранее близкая к этой тема (url фильтрация) рассматривались и даже набрала определённое кол-во голосов

Но отсутствие её реализации упёрлось в ряд моментов:

1) Блокировка по хостам (именам) возможна через skydns;

2) Блокировка по хостам в небольшом количестве возможна через ip host

 

Задача/Проблемы:

Реализовать блокировку (не фильтрацию!) хостов (доменных имён) на уровне бОльшем, чем 10 записей. Реализовывать url-фильтрацию и подобное нафиг не надо, для этого уже есть другие устройства, с другим железом, в том числе с подробным сбором статистики и другого. А вот в задачу маршрутизатора, вполне может входить отсев запроса на заблокированный домен.

Проблема 1: ip host не позволяет реализовать большой список, а дальше если бы позволял, то вручную заполнять/обновлять/пополнять конфиг каждый раз тоже было бы проблемой.

Проблема 2: skydns решает проблему большого списка, но не решает проблему нормального заполнения/обновления/пополнения списка в большом количестве. Так же skydns добавляет проблему зависимости от интернета, т.е. каждый хост проверяться будете в системе skydns на каждого пользователя отдельно - лишние накладные расходы.

 

Некрасивое решение:

На фоне тем про dnscrypt, блокировки телеметрии windows 10 и т.п., Александр Рыжов привёл более короткую настройку желаемой реализации, но через OPKG. Минусом этого решения является отключение штатного dns и установка другого.

 

Что требуется от разработчиков: самая малость, добавить файл, который пусть и через entware или другим путём, можно будет редактироваться и наполняться, который бы читался штатным dns'ом. У многих бы решилась проблема доменов телеметрии, сбора статистики, рекламы и т.п.

Изменено 27 ноября, 2018 пользователем eEye
правка выделений

[KorDen]

3 часа назад, Le ecureuil сказал:

включая интернет-фильтр

И при этом DoH/DoT так же является "интернет-фильтром"...

// + 1 гвоздь

[Le ecureuil]

7 часов назад, ankar84 сказал:

Да, поддержу.

С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата.

Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен.

 В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс.

 Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

[KorDen]

Хотелось бы поднять эту тему. А так же заметить, что через ip host нули сейчас добавить невозможно

(config)> ip host www.google-analytics.com 0.0.0.0
Dns::Manager error[22544392]: address: invalid IP address: 0.0.0.0.
(config)> ip host www.google-analytics.com 127.0.0.1
Dns::Manager error[22544392]: address: invalid IP address: 127.0.0.1.

 

[ankar84]

Да, поддержу.

С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата.

Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен.

В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс.

Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).

Изменено 17 июня, 2019 пользователем ankar84

[ankar84]

58 минут назад, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

Это великолепно!

Тогда отдельно приземлять клиентов не нужно,это радует.

[Александр Рыжов]

2 часа назад, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

Побочка, вероятно, в том, что клиентам будет не достучаться до внешнего сервиса, запущенного на UDP53. Верно?

[Le ecureuil]

19 часов назад, Александр Рыжов сказал:

Побочка, вероятно, в том, что клиентам будет не достучаться до внешнего сервиса, запущенного на UDP53. Верно?

Конечно. Но мы исходим из того, что включая интернет-фильтр человек прямо-таки жестким и воелвым решением хочет насадить всем устройствам эту политику. И любой проскок мимо в данном случае зло.

[vasek00]

27 минут назад, KorDen сказал:

И при этом DoH/DoT так же является "интернет-фильтром"... 

// + 1 гвоздь

Видимо хороший гвоздь даже если учесть что речь про dnscrypt-proxy в который забивают гвоздь и скорость обработки запроса уже по барабану была например 20-30ms станет от 60ms и выше (как и было сказано ранее "DoH/DoT" медленнее чем "DNSSec" в dnscrypt-proxy, где интернет фильтр так же включался всего одной строкой server_names = ['adguard-dns', ........']). На Extra-II при применении 2 серверов DoH, а на клиенте запуск DNSBench выводил проц на 100% загрузки, конечно такой страницы и с такой нагрузкой в интернете не будет.

То что DoH/DoT есть в коробке - это серьезный плюс.

 

Ниже два скрина клиент на LAN (Extra-II в качестве DNS сервера, с DoH - adguard-dns и cloudflare) в браузере просто перебор страниц (загрузилась, открываем другую) и тот же клиент LAN только запущен DNSBench. На Extra-II канал PPPoE всего то в 20Мбит.

 

 

[vasek00]

15 часов назад, KorDen сказал:

 

А чего тут не понять

1. вариант dnscrypt-proxy настройки server_names = ['adguard-dns', ........'] и DNSCrypt

2. вариант фильтр/DoH коробочный

При первом варианте скорость выполнения запроса DNS будет быстрее чем при втором варианте.

При выполнении DNSBench на клиенте и настроенном на ExtraII DoH проц роутера ушел в 100%.

 

[eEye]

В 17.06.2019 в 14:38, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

*Кроме локальных DNS прописанных в разделе "интернет-фильтр" к выбранному домену.

Технически такой запрос тоже идёт "мимо"/через роутер, но фактически запрос не переходит из lan в wan, он просто переходит из lan в lan.

[OldNavi]

Истово плюсую за встроенный Интернет фильтр в котором можно прописывать какие домены на разрешение/блокировку - что бы можно было использовать блокировку на определенные хосты/домены (желательно с wildcards) и иметь возможность создавать цепочку из интернет фильтров.  Как например кейс - на компьютере или сегменте сети ставить "свой" фильтр для детей (например блокируем ютюб)  и если например его прошли, то дальше ресловинг заворачивается например на adguard, что бы фильтровать всякие остальные плохие сайты.  Для контроля доступа к интернету для детей самое оно.  Понятно, что есть SkyDNS - но чет он мне не очень понравился. 

[teodorre]

В ветке 2.* ждать стоит? Или можно сразу ставить dnsmasq?

[Mikesk]

4 минуты назад, teodorre сказал:

В ветке 2.* ждать стоит? Или можно сразу ставить dnsmasq?

ветка 2.* завершена, фич не будет.

[teodorre]

В 30.08.2019 в 15:59, Mikesk сказал:

ветка 2.* завершена, фич не будет.

А как же draft? Вроде еще выходят?

[AndreBA]

23 минуты назад, teodorre сказал:

А как же draft? Вроде еще выходят?

draft для:

Скрытый текст

3.00 — экспериментальная ветка на ядре Linux 4.9, см. также историю изменений 2.15.

Поддерживаемые модели:

Keenetic Giga III Keenetic Ultra II Keenetic Air Keenetic Extra II

Giga (KN-1010) Start (KN-1110) 4G (KN-1210) Lite (KN-1310) Omni (KN-1410) City (KN-1510) Air (KN-1610) Extra (KN-1710) Ultra (KN-1810) Viva (KN-1910) DSL (KN-2010) Duo (KN-2110)

 

[teodorre]

4 часа назад, AndreBA сказал:

draft для:

  Показать содержимое

3.00 — экспериментальная ветка на ядре Linux 4.9, см. также историю изменений 2.15.

Поддерживаемые модели:

Keenetic Giga III Keenetic Ultra II Keenetic Air Keenetic Extra II

Giga (KN-1010) Start (KN-1110) 4G (KN-1210) Lite (KN-1310) Omni (KN-1410) City (KN-1510) Air (KN-1610) Extra (KN-1710) Ultra (KN-1810) Viva (KN-1910) DSL (KN-2010) Duo (KN-2110)

 

18.06.2019 последняя 2.*была? Вроде совсем недавно. Я так и не нашел где про статус почитать. Кроме того что разработка стабильных приращена еще больше года назад, но при этом регулярно выходят прошивки с серьезными изменениями. *извиняюсь за офтоп*

Изменено 31 августа, 2019 пользователем teodorre

[AndreBA]

8 часов назад, teodorre сказал:

18.06.2019 последняя 2.*была? Вроде совсем недавно. Я так и не нашел где про статус почитать. Кроме того что разработка стабильных приращена еще больше года назад, но при этом регулярно выходят прошивки с серьезными изменениями. *извиняюсь за офтоп*

Упомянутая Вами 2.* это stable(не путайте с draft)

Скрытый текст

 

 2.* выходили с заплатками, исправлениями но не как с новыми фичами. 

Есть еще направление  2.11 [legacy] - ведется по энтузиазму разработчиков.

Изменено 1 сентября, 2019 пользователем AndreBA

[Mikesk]

В 31.08.2019 в 18:06, AndreBA сказал:

draft для:

  Скрыть содержимое

3.00 — экспериментальная ветка на ядре Linux 4.9, см. также историю изменений 2.15.

Поддерживаемые модели:

Keenetic Giga III Keenetic Ultra II Keenetic Air Keenetic Extra II

Giga (KN-1010) Start (KN-1110) 4G (KN-1210) Lite (KN-1310) Omni (KN-1410) City (KN-1510) Air (KN-1610) Extra (KN-1710) Ultra (KN-1810) Viva (KN-1910) DSL (KN-2010) Duo (KN-2110)

 

Как легко заметить, это 1) не 2.*, а 3*. 2) Вашей giga 2 тут нет.

[AndreBA]

14 минуты назад, Mikesk сказал:

Как легко заметить, это 1) не 2.*, а 3*. 2) Вашей giga 2 тут нет.

А я причем тут. У меня нет и не было giga 2.

Я про 3 версию писал  и показал какие роутеры поддерживаются.

[Mikesk]

2 минуты назад, AndreBA сказал:

А я причем тут. У меня нет и не было giga 2.

Я про 3 версию писал  и показал какие роутеры поддерживаются.

у ТС гига 2 и вопрос по 2й. Сорри, цитировалось неудачно.

[avn]

Я фильтрую торренты, сейчас 500000 сетей, 2 500 000 ип адресов.