NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS su HTTPS
È possibile eseguire il servizio DNS over HTTPS di NxFilter. Con questa funzione, è possibile filtrare i dispositivi mobili iOS o Android in roaming.

Perché ne abbiamo bisogno
Il DNS su HTTPS esiste da diversi anni. Non pensavamo che fosse utile per il filtraggio, poiché UDP/53 è molto più veloce dell'uso di TCP/443. Nell'ambiente di rete odierno, molti software utilizzano il protocollo DNS per i propri scopi e il loro traffico DNS cresce man mano che aumenta la capacità della rete. Quindi, è già al limite. È un movimento molto pericoloso passare a TCP con overhead di crittografia se si gestisce una rete su larga scala.

Tuttavia, DoH potrebbe essere utile quando si desidera filtrare i dispositivi iOS o Android, poiché non abbiamo un modo solido per filtrare questi dispositivi mobili. I dispositivi iOS supportano le impostazioni DoH a livello di sistema e su Android è possibile impostare i browser basati su Chrome o Chromium per utilizzare il servizio DoH. Questi dispositivi mobili rientreranno nelle regole di filtraggio finché utilizzeranno il servizio DoH di NxFilter.

Condizioni per il servizio DoH
Ci sono diverse condizioni per utilizzare il servizio DNS over HTTPS di NxFilter.

1. È necessaria la versione v4.6.2.2 o successiva di NxFilter.

2. È necessario installare il proprio certificato SSL. Deve essere un certificato a dominio singolo se si desidera filtrare i dispositivi iOS/macOS.

3. Se si desidera filtrare i dispositivi iOS/macOS, è necessario effettuare il servizio tramite TCP/443.

4. Poiché NxFilter identifica gli utenti tramite token di accesso, è necessario abilitare prima l'autenticazione degli utenti da parte di NxFilter.

Per sapere come installare il certificato SSL su NxFilter, leggere Come si applica il proprio certificato SSL?

Come si usa
Se è per il browser Chrome, possiamo impostarlo in Impostazioni > Privacy e sicurezza > Sicurezza. Abilitare Usa DNS sicuro e aggiungere un URL personalizzato come di seguito,

È necessario sostituire 'doh.nxfilter.org' con il proprio dominio. E '4RYEO5P2' deve essere sostituito con un token di accesso di uno dei vostri utenti. Le richieste DNS dal browser Chrome appariranno con il nome utente associato al token di accesso '4RYEO5P2'.

Filtraggio dei dispositivi iOS/macOS
È possibile impostare i dispositivi Apple con iOS e macOS affinché utilizzino il servizio DoH come server DNS a livello di sistema tramite un file .mobileconfig. Se si tratta di un iPhone con iOS 15, quando si scarica un file .mobileconfig nel telefono, è possibile installarlo in Impostazioni > Generali > VPN e gestione dispositivi. Se si tratta di un macOS che supporta DoH a livello di sistema, fare doppio clic su un file .mobileconfig.

Abbiamo un modello di file .mobileconfig in Sistema > Configurazione mobile. È possibile scaricare un file .mobileconfig specifico per l'utente in base al modello dalla pagina di modifica dell'utente.

Filtrare i dispositivi Android
I dispositivi Android non supportano ancora le impostazioni DoH a livello di sistema. Sappiamo che esiste il "DNS over TLS" per Android, ma con DoT, gli utenti mobili possono essere bloccati in altre reti. se bloccano il TCP/853. Potrebbero perdere la connessione a Internet al di fuori della vostra rete. Quindi, prima che i dispositivi Android supportino DoH, l'opzione migliore è usare i browser basati su Chromium che supportano DoH. basato su Chromium che supporta DoH.

Servizio di NxFilter per utenti in roaming
Si potrebbe voler filtrare gli utenti in roaming al di fuori della propria rete con NxFilter e allo stesso tempo filtrare la propria rete locale. È possibile inoltrare il traffico TCP/80 e TCP/443 a NxFilter tramite il router. Se non è necessario eseguire il reindirizzamento del blocco per mostrare la pagina di blocco, il solo TCP/443 è sufficiente.

Reindirizzamento del blocco per gli utenti in roaming
Quando si imposta l'IP di reindirizzamento del blocco con un IP privato, ci si può chiedere cosa succede quando un utente in roaming è bloccato al di fuori della propria rete. NxFilter cerca di trovare automaticamente il suo IP pubblico e lo utilizza quando deve bloccare il reindirizzamento delle richieste DNS da un IP pubblico.

Bypassare il dominio del proprio server DoH dal filtro
Non si vuole bloccare il proprio dominio del server DoH da parte di NxFilter stesso. NxFilter cercherà di individuare il dominio DoH e di aggirarlo automaticamente. Ma è comunque più chiaro inserire il dominio nella whitelist da soli. È possibile aggiungere il dominio del server DoH a Whitelist > Domain con i flag bypass_filter e bypass_auth.