Jump to content
  • 30
eEye

Голосование за блокировку хостов (имён доменов) по файлу

Question

Здравствуйте!

 

Что было:

Ранее близкая к этой тема (url фильтрация) рассматривались и даже набрала определённое кол-во голосов

Но отсутствие её реализации упёрлось в ряд моментов:

1) Блокировка по хостам (именам) возможна через skydns;

2) Блокировка по хостам в небольшом количестве возможна через ip host

 

Задача/Проблемы:

Реализовать блокировку (не фильтрацию!) хостов (доменных имён) на уровне бОльшем, чем 10 записей. Реализовывать url-фильтрацию и подобное нафиг не надо, для этого уже есть другие устройства, с другим железом, в том числе с подробным сбором статистики и другого. А вот в задачу маршрутизатора, вполне может входить отсев запроса на заблокированный домен.

Проблема 1: ip host не позволяет реализовать большой список, а дальше если бы позволял, то вручную заполнять/обновлять/пополнять конфиг каждый раз тоже было бы проблемой.

Проблема 2: skydns решает проблему большого списка, но не решает проблему нормального заполнения/обновления/пополнения списка в большом количестве. Так же skydns добавляет проблему зависимости от интернета, т.е. каждый хост проверяться будете в системе skydns на каждого пользователя отдельно - лишние накладные расходы.

 

Некрасивое решение:

На фоне тем про dnscrypt, блокировки телеметрии windows 10 и т.п., Александр Рыжов привёл более короткую настройку желаемой реализации, но через OPKG. Минусом этого решения является отключение штатного dns и установка другого.

 

Что требуется от разработчиков: самая малость, добавить файл, который пусть и через entware или другим путём, можно будет редактироваться и наполняться, который бы читался штатным dns'ом. У многих бы решилась проблема доменов телеметрии, сбора статистики, рекламы и т.п.

Edited by eEye
правка выделений
  • Upvote 1

Share this post


Link to post
Share on other sites

21 answers to this question

Recommended Posts

  • 2
3 часа назад, Le ecureuil сказал:

включая интернет-фильтр

И при этом DoH/DoT так же является "интернет-фильтром"...

// + 1 гвоздь

Share this post


Link to post
Share on other sites
  • 1
7 часов назад, ankar84 сказал:

Да, поддержу.

С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата.

Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен.

 В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс.

 Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

  • Upvote 3

Share this post


Link to post
Share on other sites
  • 0

Хотелось бы поднять эту тему. А так же заметить, что через ip host нули сейчас добавить невозможно

(config)> ip host www.google-analytics.com 0.0.0.0
Dns::Manager error[22544392]: address: invalid IP address: 0.0.0.0.
(config)> ip host www.google-analytics.com 127.0.0.1
Dns::Manager error[22544392]: address: invalid IP address: 127.0.0.1.

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Да, поддержу.

С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата.

Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен.

В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс.

Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).

Edited by ankar84
  • Upvote 2

Share this post


Link to post
Share on other sites
  • 0
58 минут назад, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

Это великолепно!

Тогда отдельно приземлять клиентов не нужно,это радует.

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

Побочка, вероятно, в том, что клиентам будет не достучаться до внешнего сервиса, запущенного на UDP53. Верно?

Share this post


Link to post
Share on other sites
  • 0
19 часов назад, Александр Рыжов сказал:

Побочка, вероятно, в том, что клиентам будет не достучаться до внешнего сервиса, запущенного на UDP53. Верно?

Конечно. Но мы исходим из того, что включая интернет-фильтр человек прямо-таки жестким и воелвым решением хочет насадить всем устройствам эту политику. И любой проскок мимо в данном случае зло.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
27 минут назад, KorDen сказал:

И при этом DoH/DoT так же является "интернет-фильтром"... 

// + 1 гвоздь

Видимо хороший гвоздь даже если учесть что речь про dnscrypt-proxy в который забивают гвоздь и скорость обработки запроса уже по барабану была например 20-30ms станет от 60ms и выше (как и было сказано ранее "DoH/DoT" медленнее чем "DNSSec" в dnscrypt-proxy, где интернет фильтр так же включался всего одной строкой server_names = ['adguard-dns', ........']). На Extra-II при применении 2 серверов DoH, а на клиенте запуск DNSBench выводил проц на 100% загрузки, конечно такой страницы и с такой нагрузкой в интернете не будет.

То что DoH/DoT есть в коробке - это серьезный плюс.

 

Ниже два скрина клиент на LAN (Extra-II в качестве DNS сервера, с DoH - adguard-dns и cloudflare) в браузере просто перебор страниц (загрузилась, открываем другую) и тот же клиент LAN только запущен DNSBench. На Extra-II канал PPPoE всего то в 20Мбит.

DNSBench-2.jpg.884140522bd33aecc89b127e8de97d86.jpgDNSBench-1.jpg.3335518e0aca3283165350eb9c3b0466.jpg

 

 

  • Confused 1

Share this post


Link to post
Share on other sites
  • 0
15 часов назад, KorDen сказал:

 

А чего тут не понять

1. вариант dnscrypt-proxy настройки server_names = ['adguard-dns', ........'] и DNSCrypt

2. вариант фильтр/DoH коробочный

При первом варианте скорость выполнения запроса DNS будет быстрее чем при втором варианте.

При выполнении DNSBench на клиенте и настроенном на ExtraII DoH проц роутера ушел в 100%.

 

Share this post


Link to post
Share on other sites
  • 0
В 17.06.2019 в 14:38, Le ecureuil сказал:

Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

*Кроме локальных DNS прописанных в разделе "интернет-фильтр" к выбранному домену.

Технически такой запрос тоже идёт "мимо"/через роутер, но фактически запрос не переходит из lan в wan, он просто переходит из lan в lan.

Share this post


Link to post
Share on other sites
  • 0

Истово плюсую за встроенный Интернет фильтр в котором можно прописывать какие домены на разрешение/блокировку - что бы можно было использовать блокировку на определенные хосты/домены (желательно с wildcards) и иметь возможность создавать цепочку из интернет фильтров.  Как например кейс - на компьютере или сегменте сети ставить "свой" фильтр для детей (например блокируем ютюб)  и если например его прошли, то дальше ресловинг заворачивается например на adguard, что бы фильтровать всякие остальные плохие сайты.  Для контроля доступа к интернету для детей самое оно.  Понятно, что есть SkyDNS - но чет он мне не очень понравился. 

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, teodorre сказал:

В ветке 2.* ждать стоит? Или можно сразу ставить dnsmasq?

ветка 2.* завершена, фич не будет.

Share this post


Link to post
Share on other sites
  • 0
В 30.08.2019 в 15:59, Mikesk сказал:

ветка 2.* завершена, фич не будет.

А как же draft? Вроде еще выходят?

Share this post


Link to post
Share on other sites
  • 0
23 минуты назад, teodorre сказал:

А как же draft? Вроде еще выходят?

draft для:

Скрытый текст

3.00 — экспериментальная ветка на ядре Linux 4.9, см. также историю изменений 2.15.

Поддерживаемые модели:

  • Keenetic Giga III
  • Keenetic Ultra II
  • Keenetic Air
  • Keenetic Extra II
  • Giga (KN-1010)
  • Start (KN-1110)
  • 4G (KN-1210)
  • Lite (KN-1310)
  • Omni (KN-1410)
  • City (KN-1510)
  • Air (KN-1610)
  • Extra (KN-1710)
  • Ultra (KN-1810)
  • Viva (KN-1910)
  • DSL (KN-2010)
  • Duo (KN-2110)

 

Share this post


Link to post
Share on other sites
  • 0
4 часа назад, AndreBA сказал:

draft для:

  Показать содержимое

3.00 — экспериментальная ветка на ядре Linux 4.9, см. также историю изменений 2.15.

Поддерживаемые модели:

  • Keenetic Giga III
  • Keenetic Ultra II
  • Keenetic Air
  • Keenetic Extra II
  • Giga (KN-1010)
  • Start (KN-1110)
  • 4G (KN-1210)
  • Lite (KN-1310)
  • Omni (KN-1410)
  • City (KN-1510)
  • Air (KN-1610)
  • Extra (KN-1710)
  • Ultra (KN-1810)
  • Viva (KN-1910)
  • DSL (KN-2010)
  • Duo (KN-2110)

 

18.06.2019 последняя 2.*была? Вроде совсем недавно. Я так и не нашел где про статус почитать. Кроме того что разработка стабильных приращена еще больше года назад, но при этом регулярно выходят прошивки с серьезными изменениями. *извиняюсь за офтоп*

Edited by teodorre

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, teodorre сказал:

18.06.2019 последняя 2.*была? Вроде совсем недавно. Я так и не нашел где про статус почитать. Кроме того что разработка стабильных приращена еще больше года назад, но при этом регулярно выходят прошивки с серьезными изменениями. *извиняюсь за офтоп*

Упомянутая Вами 2.* это stable(не путайте с draft)

Скрытый текст

 

 2.* выходили с заплатками, исправлениями но не как с новыми фичами. 

Есть еще направление  2.11 [legacy] - ведется по энтузиазму разработчиков.

Edited by AndreBA

Share this post


Link to post
Share on other sites
  • 0
В 31.08.2019 в 18:06, AndreBA сказал:

draft для:

  Скрыть содержимое

3.00 — экспериментальная ветка на ядре Linux 4.9, см. также историю изменений 2.15.

Поддерживаемые модели:

  • Keenetic Giga III
  • Keenetic Ultra II
  • Keenetic Air
  • Keenetic Extra II
  • Giga (KN-1010)
  • Start (KN-1110)
  • 4G (KN-1210)
  • Lite (KN-1310)
  • Omni (KN-1410)
  • City (KN-1510)
  • Air (KN-1610)
  • Extra (KN-1710)
  • Ultra (KN-1810)
  • Viva (KN-1910)
  • DSL (KN-2010)
  • Duo (KN-2110)

 

Как легко заметить, это 1) не 2.*, а 3*. 2) Вашей giga 2 тут нет.

Share this post


Link to post
Share on other sites
  • 0
14 минуты назад, Mikesk сказал:

Как легко заметить, это 1) не 2.*, а 3*. 2) Вашей giga 2 тут нет.

А я причем тут. У меня нет и не было giga 2.

Я про 3 версию писал  и показал какие роутеры поддерживаются.

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, AndreBA сказал:

А я причем тут. У меня нет и не было giga 2.

Я про 3 версию писал  и показал какие роутеры поддерживаются.

у ТС гига 2 и вопрос по 2й. Сорри, цитировалось неудачно.

Share this post


Link to post
Share on other sites
  • 0

Я фильтрую торренты, сейчас 500000 сетей, 2 500 000 ип адресов.

 

image.png.56750a314bc76012c78db8aba30f5b13.png

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...