NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS sur HTTPS
Vous pouvez exécuter le service DNS over HTTPS par NxFilter. Grâce à cette fonctionnalité, vous pouvez filtrer les appareils mobiles iOS ou Android itinérants.

Pourquoi nous en avons besoin
Le DNS sur HTTPS existe depuis plusieurs années. Nous ne pensions pas qu'il était utile pour le filtrage car UDP/53 est beaucoup plus rapide que l'utilisation de TCP/443. Dans l'environnement réseau actuel, de nombreux logiciels utilisent le protocole DNS pour leurs propres besoins et leur trafic DNS augmente au fur et à mesure que la capacité du réseau s'accroît. Il est donc déjà au maximum de ses capacités. C'est un mouvement très dangereux que de passer à TCP avec une surcharge de cryptage si vous gérez un réseau à grande échelle.

Cependant, DoH pourrait être utile pour filtrer les appareils iOS ou Android, car nous ne disposons d'aucun moyen solide de filtrer ces appareils mobiles. Les appareils iOS prennent en charge les paramètres DoH au niveau du système et sur Android, nous pouvons configurer Chrome ou les navigateurs basés sur Chromium pour qu'ils utilisent le service DoH. Ces appareils mobiles seront soumis à vos règles de filtrage tant qu'ils utiliseront le service DoH de NxFilter.

Conditions pour le service DoH
Il existe plusieurs conditions pour utiliser le service DNS over HTTPS de NxFilter.

1. vous avez besoin de la version 4.6.2.2 ou d'une version ultérieure de NxFilter.

2. Vous devez installer votre propre certificat SSL. Il doit s'agir d'un certificat à domaine unique si vous souhaitez filtrer les appareils iOS/macOS.

3. vous devez le gérer via TCP/443 si vous voulez filtrer les appareils iOS/macOS.

4. Puisque NxFilter identifie les utilisateurs par jeton de connexion, vous devez d'abord activer l'authentification de l'utilisateur par NxFilter.

Pour savoir comment installer votre certificat SSL sur NxFilter, lisez Comment puis-je appliquer mon propre certificat SSL ?

Comment l'utiliser ?
Si c'est pour le navigateur Chrome, nous pouvons le configurer dans Paramètres > Confidentialité et sécurité > Sécurité. Activez Use secure DNS et ajoutez une URL personnalisée comme ci-dessous,

Vous devez remplacer 'doh.nxfilter.org' par votre propre domaine. Et '4RYEO5P2' doit être remplacé par un jeton de connexion de l'un de vos utilisateurs. Les requêtes DNS du navigateur Chrome apparaîtront avec le nom d'utilisateur associé au jeton de connexion '4RYEO5P2'.

Filtrer les appareils iOS/macOS
Vous pouvez configurer les appareils Apple fonctionnant sous iOS et macOS pour qu'ils utilisent votre service DoH comme serveur DNS à l'échelle du système au moyen d'un fichier .mobileconfig. S'il s'agit d'un iPhone avec iOS 15, lorsque vous téléchargez un fichier .mobileconfig dans votre téléphone, vous pouvez l'installer dans Setting > General > VPN & Device Management. S'il s'agit d'un macOS qui prend en charge DoH à l'échelle du système, double-cliquez sur un fichier .mobileconfig.

Nous avons un modèle de fichier .mobileconfig dans Système > Configuration mobile. Vous pouvez télécharger un fichier .mobileconfig spécifique à l'utilisateur basé sur le modèle à partir de la page d'édition de l'utilisateur.

Filtrage des appareils Android
Les appareils Android ne supportent pas encore les paramètres DoH à l'échelle du système. Nous savons qu'il y a 'DNS over TLS' pour Android mais avec DoT, vos utilisateurs mobiles peuvent être bloqués dans d'autres réseaux s'ils bloquent TCP/853. Ils risquent de perdre leur connexion Internet en dehors de votre réseau. Ainsi, avant que les appareils Android ne prennent en charge DoH, la meilleure option est d'utiliser les navigateurs basés sur Chromium supportant DoH.

Servir NxFilter aux utilisateurs itinérants
Vous pouvez vouloir filtrer les utilisateurs itinérants en dehors de votre réseau par NxFilter tout en filtrant votre réseau local. Votre routeur peut transférer le trafic TCP/80 et TCP/443 vers NxFilter. Si vous n'avez pas besoin d'effectuer une redirection de bloc pour afficher votre page de blocage, TCP/443 suffit.

Blocage de la redirection pour les utilisateurs itinérants
Lorsque vous définissez votre IP de redirection de bloc avec une IP privée, vous pouvez vous demander ce qui se passe lorsqu'un utilisateur itinérant est bloqué en dehors de votre réseau. NxFilter tente de trouver son IP publique automatiquement et utilise l'IP publique lorsqu'il doit bloquer la redirection des requêtes DNS provenant d'une IP publique.

Contournement de votre propre domaine de serveur DoH pour votre filtrage
Vous ne voulez pas bloquer votre domaine de serveur DoH par NxFilter lui-même. NxFilter essaiera de trouver votre domaine DoH et de le contourner automatiquement. Mais il est encore plus clair de mettre votre domaine sur liste blanche par vous-même. Vous pouvez ajouter votre domaine de serveur DoH sur Whitelist > Domain avec les drapeaux bypass_filter et bypass_auth.