NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS sobre HTTPS
Você pode executar o serviço DNS sobre HTTPS pelo NxFilter. Com esse recurso, você pode filtrar dispositivos móveis iOS ou Android em roaming.

Por que precisamos dele
O DNS sobre HTTPS já existe há vários anos. Não achamos que fosse útil para filtragem, pois o UDP/53 é muito mais rápido do que o TCP/443. No ambiente de rede atual, muitos tipos de software estão usando o protocolo DNS para seus próprios fins e o tráfego de DNS cresce à medida que aumentamos a capacidade da rede. Portanto, ele já está no limite máximo. É um movimento muito perigoso mudá-lo para TCP com sobrecarga de criptografia se você executar uma rede de grande escala.

Entretanto, o DoH pode ser útil quando você deseja filtrar dispositivos iOS ou Android, pois não temos nenhuma maneira sólida de filtrar esses dispositivos móveis. Os dispositivos iOS suportam configurações de DoH em todo o sistema e, no Android, podemos configurar os navegadores baseados no Chrome ou no Chromium para usar o serviço DoH. Esses dispositivos móveis estarão sob suas regras de filtragem, desde que usem o serviço DoH do NxFilter.

Condições para o serviço DoH
Há várias condições para usar o serviço DNS over HTTPS do NxFilter.

1. você precisa da versão v4.6.2.2 ou posterior do NxFilter.

2. Você precisa instalar seu próprio certificado SSL. Ele deve ser um certificado de domínio único se você quiser filtrar dispositivos iOS/macOS.

3. Você deve atendê-lo por meio de TCP/443 se quiser filtrar dispositivos iOS/macOS.

4. Como o NxFilter identifica os usuários por meio do token de login, é necessário ativar a autenticação do usuário pelo NxFilter primeiro.

Para saber como instalar seu certificado SSL no NxFilter, leia Como faço para aplicar meu próprio certificado SSL?

Como usá-lo
Se for para o navegador Chrome, podemos configurá-lo em Settings > Privacy and security > Security (Configurações > Privacidade e segurança > Segurança). Ative Usar DNS seguro e, em seguida, adicione um URL personalizado, como abaixo,

Você precisa substituir "doh.nxfilter.org" pelo seu próprio domínio. E "4RYEO5P2" precisa ser substituído por um token de login de um dos seus usuários. As solicitações de DNS do navegador Chrome serão exibidas com o nome de usuário associado ao token de login "4RYEO5P2".

Filtragem de dispositivos iOS/macOS
Você pode configurar os dispositivos Apple que executam iOS e macOS para usar o serviço DoH como servidor DNS de todo o sistema por meio de um arquivo .mobileconfig. Se for um iPhone com iOS 15, quando você baixar um arquivo .mobileconfig no telefone, poderá instalá-lo em Setting > General > VPN & Device Management. Se estiver em um macOS que ofereça suporte a DoH em todo o sistema, clique duas vezes em um arquivo .mobileconfig.

Temos um modelo para o arquivo .mobileconfig em System > Mobile Config. Você pode baixar um arquivo .mobileconfig específico do usuário com base no modelo da página de edição do usuário.

Filtragem de dispositivos Android
Os dispositivos Android ainda não suportam configurações de DoH em todo o sistema. Sabemos que existe o "DNS over TLS" para Android, mas com o DoT, seus usuários móveis podem ser bloqueados em outras redes se eles bloquearem o TCP/853. Eles podem perder a conexão com a Internet fora de sua rede. Portanto, antes de os dispositivos Android suportarem o DoH, a melhor opção é usar navegadores baseados no Chromium com suporte a DoH.

Manutenção do NxFilter para usuários em roaming
Talvez você queira filtrar os usuários em roaming fora da sua rede pelo NxFilter e, ao mesmo tempo, filtrar a sua rede local. Você pode encaminhar o tráfego TCP/80 e TCP/443 para o NxFilter por meio do roteador. Se você não precisar fazer o redirecionamento de bloqueio para exibir sua página de bloqueio, o TCP/443 sozinho seria suficiente.

Redirecionamento de bloqueio para usuários em roaming
Ao definir o IP de redirecionamento de bloqueio com um IP privado, você pode se perguntar o que acontece quando há um usuário de roaming bloqueado fora da sua rede. O NxFilter tenta encontrar seu IP público automaticamente e usa o IP público quando precisa bloquear o redirecionamento das solicitações de DNS de um IP público.

Ignorando o domínio do seu próprio servidor DoH da sua filtragem
Você não deseja bloquear o domínio do seu servidor DoH pelo próprio NxFilter. O NxFilter tentará descobrir seu domínio DoH e o contornará automaticamente. Mas ainda é mais claro colocar seu domínio na lista de permissões por conta própria. Você pode adicionar o domínio do seu servidor DoH em Whitelist > Domain com os sinalizadores bypass_filter e bypass_auth.