NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS sobre HTTPS
Puede ejecutar el servicio DNS sobre HTTPS de NxFilter. Con esta función, puede filtrar dispositivos móviles iOS o Android en itinerancia.

Por qué lo necesitamos
DNS sobre HTTPS existe desde hace varios años. No pensamos que fuera útil para filtrar ya que UDP/53 es mucho más rápido que usar TCP/443. En el entorno de red actual, muchos tipos de software utilizan el protocolo DNS para sus propios fines y su tráfico DNS crece a medida que aumenta la capacidad de nuestra red. Así que ya está al máximo. Es un movimiento muy peligroso cambiarlo a TCP con sobrecarga de cifrado si se ejecuta una red a gran escala.

Sin embargo, DoH podría ser útil cuando quieras filtrar dispositivos iOS o Android ya que no tenemos ninguna forma sólida de filtrar estos dispositivos móviles. Los dispositivos iOS soportan la configuración de DoH en todo el sistema y en Android podemos configurar los navegadores basados en Chrome o Chromium para que utilicen el servicio DoH. Estos dispositivos móviles estarán bajo sus reglas de filtrado siempre y cuando utilicen el servicio DoH de NxFilter.

Condiciones para el servicio DoH
Existen varias condiciones para utilizar el servicio DNS sobre HTTPS de NxFilter.

1. Necesita la version v4.6.2.2 o posterior de NxFilter.

2. Necesita instalar su propio certificado SSL. Debe ser un certificado de dominio único si quiere filtrar dispositivos iOS/macOS.

3. Debe dar servicio a través de TCP/443 si quiere filtrar dispositivos iOS/macOS.

4. Dado que NxFilter identifica a los usuarios por Login Token, primero debe habilitar la autenticación de usuarios por NxFilter.

Para saber como instalar su certificado SSL en NxFilter, lea ¿Como aplico mi propio certificado SSL?

Cómo utilizarlo
Si es para el navegador Chrome, podemos configurarlo en Configuración > Privacidad y seguridad > Seguridad. Activamos Usar DNS seguro y luego añadimos una URL personalizada como la siguiente,

Debe sustituir 'doh.nxfilter.org' por su propio dominio. Y '4RYEO5P2' tiene que ser reemplazado con un token de inicio de sesión de uno de sus usuarios. Las peticiones DNS del navegador Chrome aparecerán con el nombre de usuario asociado al login token '4RYEO5P2'.

Filtrado de dispositivos iOS/macOS
Puede configurar los dispositivos Apple con iOS y macOS para que utilicen su servicio DoH como servidor DNS de todo el sistema mediante un archivo .mobileconfig. Si se trata de un iPhone con iOS 15, al descargar un archivo .mobileconfig en el teléfono, puede instalarlo en Configuración > General > VPN y Administración de dispositivos. Si está en un macOS que soporta DoH en todo el sistema, entonces haga doble clic en un archivo .mobileconfig.

Tenemos una plantilla para el archivo .mobileconfig en System > Mobile Config. Puede descargar un archivo .mobileconfig específico de usuario basado en la plantilla desde la página de edición de usuario.

Filtrado de dispositivos Android
Los dispositivos Android aún no soportan la configuración DoH en todo el sistema. Sabemos que hay 'DNS sobre TLS' para Android pero con DoT, sus usuarios móviles pueden ser bloqueados en otra red si bloquean TCP/853. Pueden perder su conexión a Internet fuera de su red. Así que, antes de que los dispositivos Android soporten DoH, la mejor opción es usar navegadores basados en Chromium que soporten DoH.

Servicio de NxFilter a usuarios en roaming
Es posible que desee filtrar los usuarios itinerantes fuera de su red por NxFilter mientras filtra su red local al mismo tiempo. Puede reenviar el tráfico TCP/80 y TCP/443 al NxFilter a través de su router. Si no necesita hacer la Redirección de Bloqueo para mostrar su página de bloqueo, TCP/443 por sí solo sería suficiente.

Bloquear redirección para usuarios en roaming
Cuando establece su IP de redirección de bloqueo con una IP privada, puede preguntarse qué ocurre cuando hay un usuario itinerante bloqueado fuera de su red. NxFilter intenta encontrar su IP pública automáticamente y utiliza la IP pública cuando necesita bloquear la redirección de las peticiones DNS desde una IP pública.

Bypassing your own DoH server domain form your filtering
No quiere bloquear su dominio de servidor DoH por el propio NxFilter. NxFilter intentará encontrar su dominio DoH y evitarlo automáticamente. Pero aún así es más claro poner su dominio en la lista blanca por usted mismo. Puede añadir su dominio de servidor DoH en Whitelist > Domain con las banderas bypass_filter y bypass_auth.