NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS over HTTPS
NxFilter で DNS over HTTPS サービスを実行できます。この機能により、ローミングしているiOSまたはAndroidモバイルデバイスをフィルタリングすることができます。

必要な理由
DNS over HTTPSは数年前からある。UDP/53はTCP/443を使用するよりもはるかに高速であるため、フィルタリングに有用だとは考えていませんでした。 今日のネットワーク環境では、非常に多くの種類のソフトウェアが独自の目的でDNSプロトコルを使用しており、ネットワーク容量が大きくなるにつれて、そのDNSトラフィックは増大する。 つまり、もう限界なのだ。大規模なネットワークを運用する場合、暗号化オーバーヘッドのあるTCPに切り替えるのは非常に危険な動きだ。

しかし、DoHはiOSデバイスやAndroidデバイスをフィルタリングしたいときに便利です。 iOSデバイスはシステム全体のDoH設定をサポートし、AndroidではChromeまたはChromiumベースのブラウザがDoHサービスを使用するように設定できます。 これらのモバイルデバイスは、NxFilterによるDoHサービスを使用している限り、フィルタリングルールの対象となります。

DoHサービスの条件
NxFilterのDNS over HTTPSサービスを利用するにはいくつかの条件があります。

1. NxFilterのv4.6.2.2以降のバージョンが必要です。

2.独自のSSL証明書をインストールする必要があります。iOS/macOSデバイスをフィルタリングする場合は、シングルドメイン証明書である必要があります。

3.iOS/macOSデバイスをフィルタリングしたい場合は、TCP/443経由でサービスを提供する必要があります。

4.NxFilter はログイン・トークンでユーザを識別するため、NxFilter によるユーザ認証を有効にする必要があります。

NxFilterにSSL証明書をインストールする方法、 読む SSL証明書のインストール方法は?

使用方法
Chromeブラウザの場合、設定 > プライバシーとセキュリティ > セキュリティで設定できます。セキュアなDNSを使用するを有効にし、以下のようにカスタムURLを追加します、

'doh.nxfilter.org'を自分のドメインに置き換える必要があります。また、'4RYEO5P2'はユーザーのログイントークンに置き換える必要があります。 ChromeブラウザからのDNSリクエストは、ログイントークン'4RYEO5P2'に関連付けられたユーザー名で表示されます。

iOS/macOSデバイスのフィルタリング
.mobileconfigファイルによって、iOSとmacOSを実行しているAppleデバイスがシステム全体のDNSサーバーとしてDoHサービスを使用するように設定できます。 iOS15を搭載したiPhoneであれば、.mobileconfigファイルをダウンロードしたら、設定>一般>VPNとデバイス管理でインストールできます。 システムワイドDoHをサポートしているmacOSであれば、.mobileconfigファイルをダブルクリックします。

システム > モバイル設定に.mobileconfigファイルのテンプレートがあります。 ユーザー編集ページからテンプレートに基づいたユーザー固有の.mobileconfigファイルをダウンロードできます。

Androidデバイスのフィルタリング
Androidデバイスはシステム全体のDoH設定をまだサポートしていません。Androidには'DNS over TLS'があることは知っていますが、DoTを使うと、モバイルユーザーが他のネットワークでTCP/853をブロックしている場合、ブロックされる可能性があります。 TCP/853をブロックした場合。ネットワーク外でのインターネット接続を失う可能性があります。だから、DoHをサポートするAndroidデバイスの前に、最良の選択肢は、DoHをサポートするChromium ベースのブラウザを使用することです。

ローミングユーザーへのNxFilterの提供
NxFilter によってネットワーク外のローミングユーザをフィルタリングすると同時に、ローカルネットワークもフィルタリングしたい場合があります。 ルータで TCP/80 と TCP/443 のトラフィックを NxFilter にポート転送することができます。 ブロックページを表示するためにブロック・リダイレクトを行う必要がない場合は、TCP/443だけで十分です。

ローミングユーザのためのブロックリダイレクト
ブロック・リダイレクトのIPをプライベートIPで設定した場合、ネットワーク外でブロックされているローミング・ユーザがいるとどうなるか気になるかもしれません。 NxFilter はパブリック IP を自動的に見つけ、パブリック IP からの DNS リクエストのリダイレクトをブロックする必要がある場合にパブリック IP を使用します。

DoH サーバードメインのフィルタリングをバイパスする。
NxFilter 自身で DoH サーバドメインをブロックしたくない場合。NxFilter はあなたの DoH ドメインを見つけ、自動的にそれをバイパスしようとします。 しかし、自分のドメインは自分でホワイトリストに登録した方が安全です。あなたの DoH サーバドメインを Whitelist > Domain bypass_filter と bypass_auth フラグを指定します。