NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
DNS через HTTPS
Вы можете запустить службу DNS over HTTPS с помощью NxFilter. С помощью этой функции вы можете фильтровать мобильные устройства iOS или Android в роуминге.

Зачем нам это нужно
DNS через HTTPS существует уже несколько лет. Мы не считали его полезным для фильтрации, так как UDP/53 намного быстрее, чем использование TCP/443. В современном сетевом окружении так много программ используют протокол DNS для своих целей, и их DNS-трафик растет по мере увеличения пропускной способности сети. Так что он уже исчерпан. Переход на TCP с накладными расходами на шифрование - очень опасное движение, если вы работаете в крупномасштабной сети.

Тем не менее, DoH может быть полезен, когда вы хотите фильтровать устройства iOS или Android, поскольку у нас нет надежного способа фильтрации этих мобильных устройств. Устройства iOS поддерживают системные настройки DoH, а на Android мы можем настроить браузеры Chrome или Chromium на использование сервиса DoH. Эти мобильные устройства будут подпадать под ваши правила фильтрации до тех пор, пока они используют службу DoH от NxFilter.

Условия для службы DoH
Существует несколько условий для использования сервиса DNS over HTTPS от NxFilter.

1. Вам необходима версия NxFilter v4.6.2.2 или более поздняя версия.

2. Вам необходимо установить собственный SSL-сертификат. Это должен быть сертификат одного домена, если вы хотите фильтровать устройства iOS/macOS.

3. Вы должны обслуживать его через TCP/443, если хотите фильтровать устройства iOS/macOS.

4. Поскольку NxFilter идентифицирует пользователей по логин-токену, вам необходимо сначала включить аутентификацию пользователей в NxFilter.

Чтобы узнать, как установить SSL-сертификат на NxFilter, прочитайте Как применить собственный SSL-сертификат?

Как его использовать
Если речь идет о браузере Chrome, мы можем настроить его в Настройки > Конфиденциальность и безопасность > Безопасность. Включите опцию Использовать безопасный DNS, а затем добавьте пользовательский URL, как показано ниже,

Вам нужно заменить 'doh.nxfilter.org' на ваш собственный домен. А '4RYEO5P2' нужно заменить на токен входа одного из ваших пользователей. В DNS-запросах браузера Chrome будет отображаться имя пользователя, связанное с логин-токеном '4RYEO5P2'.

Фильтрация устройств на базе iOS/macOS
Вы можете настроить устройства Apple под управлением iOS и macOS на использование вашего сервиса DoH в качестве общесистемного DNS-сервера с помощью файла .mobileconfig. Если это iPhone с iOS 15, то, загрузив файл .mobileconfig в телефон, вы можете установить его в меню Настройки > Общие > VPN и управление устройствами. Если это macOS с поддержкой системного DoH, то дважды щелкните файл .mobileconfig.

У нас есть шаблон для файла .mobileconfig в разделе Система > Мобильная конфигурация. Вы можете загрузить файл .mobileconfig для конкретного пользователя на основе шаблона со страницы редактирования пользователя.

Фильтрация устройств Android
Android-устройства пока не поддерживают общесистемные настройки DoH. Мы знаем, что есть 'DNS over TLS' для Android, но с DoT, ваши мобильные пользователи могут быть заблокированы в других сетях если они блокируют TCP/853. Они могут потерять подключение к Интернету за пределами вашей сети. Поэтому, пока Android-устройства не поддерживают DoH, лучшим вариантом будет использование браузеров на базе Chromium браузеры на базе Chromium, поддерживающие DoH.

Обслуживание NxFilter для пользователей в роуминге
Вы можете захотеть фильтровать роуминг пользователей за пределами вашей сети с помощью NxFilter, одновременно фильтруя вашу локальную сеть. Вы можете перенаправить TCP/80 и TCP/443 трафик на NxFilter с помощью вашего маршрутизатора. Если вам не нужно делать Block Redirection для показа страницы блокировки, то достаточно будет одного TCP/443.

Блокировать перенаправление для пользователей, находящихся в роуминге
Если вы установили IP-адрес для перенаправления блока с частным IP-адресом, вы можете задаться вопросом, что произойдет, если за пределами вашей сети будет заблокирован пользователь, находящийся в роуминге. NxFilter пытается найти его публичный IP автоматически и использует публичный IP, когда ему нужно заблокировать перенаправление DNS-запросов с публичного IP.

Обход собственной фильтрации домена DoH-сервера
Вы не хотите блокировать домен вашего DoH-сервера самим NxFilter. NxFilter попытается узнать ваш домен DoH и обойти его автоматически. Но все же лучше внести домен в белый список самостоятельно. Вы можете добавить домен вашего сервера DoH в Whitelist > Domain с флагами bypass_filter и bypass_auth.