Комментарии 31
DoH?
Хабр содержит контент для взрослых (18+), согласно пользовательскому соглашению. Его, я так понимаю, заблокировать не удалось?
В чём новшество или преимущество описанного способа блокировки именно на оборудовании Zyxel, если весь принцип сводится к использованию яндекс днс?
В одной из школ, провайдер блокировал выделенный канал Интернет минут через 20, после того как начинались занятия, аргументируя чрезмерной нагрузкой по UDP (ну было по 200 телефонов в сети) , мало указать "ДНС с защитой контета", нужно еще отлавливать все пакеты на 53 порт и перенаправлять на собственные кэшириющие DNS, но и не забывать про DNS-over-TLS где не только 853 порт, вобщем куча телефонного зоопарка из китая "убивает" сеть - пришлось отлавливать сервера по количеству пакетов на UDP к которым идет подключение, и блокировать эти сервера на тайм-лимит в несколько часов. В целом базовый интернет у всех есть, жалобы сейчас не частые.
и у него прям в договоре прописано ограничение на UDP сессии?
Провайдер действительно имел право так считать, мой NAT тяжело умирал от количества запросов, просто провайдер был крайней точкой принявшей решение.
Формулировка со стороны провайдера: вирусная активность вероятно бот-нет.
Я наблюдал за активностью WireShark-ом, оказывается что каждый андроидный китаец сливает уйму данных, кроме того похищение данных о клиенте, треккинги тача у этих хостов это "как здрасти", не говоря о треккерах и т.п. Аналогично ведут себя и устройства Apple со своими облаками. Мне пришлось зарезать сайты и многие хосты производителей телефонов регулярками, ну а после уже по количеству запросов на хост.
Соответвенно пользователи WiFi получают легкий интернет, администрация - полный с небольшими коррективами. Ужас с подключением в этой школе 14 точек доступа в качестве бриджей позволил сыграть с разделением сетей для каждой группы доступа.
перенаправлять запрещенки лучше на 255.255.255.255 а не на IP. Ничего лишнего в запросах не висит нигде, мгновенный отказ.
Бродкастить блокируемый хост? Ааааригинально...
;) а какие у Вас будут предложения, при открытии страницы, если реклама формируется с определенного хоста, треккеры встроены в большинство станиц... подсеть 127.0.0.х делает задержку, любой несуществующий адрес делает время ожидания. И получается что страница уже готова для отображения но чего-то еще ждет. У нас определенные соцсети заблокированы, если в странице есть кнопка "поделиться" запрещенной соц.сети, то страница тупит, так как ждет ответ от левого адреса. "Дропать" пакеты накладно по нагрузке на маршрутизатор, посылать абы куда тоже не вариант из-за задержки отказа.
тесты в студию!!!
0.0.0.0
Пропробуйте сравнить даже обычным пингом.
да 0.0.0.0 более культурный, теоретически оправдан!
отличный совет!
127.0.0.1 плох тем, что вдруг на клиенте там что-то висит? Ну, мало ли, какой-нибудь локальный веб-сервер, вдруг это устройство веб-разработчика. И могут происходить всякие неожиданные сценарии.
0.0.0.0 — как компромиссный вариант, не самый лучший, но и не самый худший.
Опередили https://habr.com/ru/company/zyxel/blog/646613/comments/#comment_24020685
С подключением Вас Александр, работающий 16 лет с СКС и сетевым оборудованием! Описаный Вами способ с блокировкой хостов на dns использовали ещё в начале 2000х. Он и тогда не работал и сейчас не работает. Количество порно сайтов превышает все возможные базы где их пытаются записывать и семейный Яндекс dns это не решение
А что мешает использовать другой днс или прокси?
Перечитывая заголовок уже в 3-й раз, хочется всё-таки уточнить кто же такой этот Как?
А вы не оценивали, насколько хорошо семейный яндекс.днс блокирует сайты для взрослых? Я вот смотрел, многие сайты с видео для взрослых даже из поисковой выдачи яндекса он пропускает. Но самое обидное, что поддержка яндекса не реагирует на обращения, и не добавляет эти домены в базу яндекс.днс. Фикция, одним словом.
Кроме этого, семейный режим есть у AdGuard DNS. https://adguard.com/ru/blog/adguard-dns-family-protection.html
Но всегда найдутся продвинутые дети, которые установят vpn-плагин в браузер, и спокойно зайдут на "заблокированные" таким образом сайты.
:) поэтому нужно заблокировать "магазины" браузеров и скачивание файлов содержащих расширение, а еще пройтись по маске названий, и торрент и VPN обязательно по L7 запретить (как-то было все рекоментовали но при этом малко кто видел на деле эго неэффективность) .
Крупные организации в домене еще умудряются подменять https сертификаты для контроля над трафиком. Безграничное поле для всяких изощрений.
Абсолютная защита это выдернуть вилку из розетки, остальное только усложнение простых решений по побходу ограничений.
А вы не оценивали, насколько хорошо семейный яндекс.днс блокирует сайты для взрослых?
Вроде нормально блокирует. Если что-то пропустит, заблокирую сайт вручную.
Кроме этого, семейный режим есть у AdGuard DNS.
Спасибо и за ссылку тоже.
Как блокировал контент для взрослых