Как настроить принудительное использование DNS на Windows?
Часто слышу, что DNS можно пустить принудительно, если перехватить какой-то волшебный 53 порт. Вот пример совета:
"Принудительное использование DNS обычно выполняется на уровне брандмауэра/маршрутизатора. Вы перехватываете все соединения UDP/TCP 53 (используя правило iptables) и направляете их на выбранный вами DNS-сервер".
Объясните ламеру, пожалуйста, как сделать аналогичное действо в Windows 11 или, если возможно, на уровне роутера (но он у меня деревенский, поэтому вряд ли получится - ASUS RT-N11P).
Это правильный путь.
Желательно иметь роутер, для которого поддерживается прошивка OpenWRT, ну и, соответственно, установить на него эту прошивку.
ASUS RT-N11P ограниченно годен, но не рекомендуется для установки OpenWRT: https://openwrt.org/toh/hwdata/asus/asus_rt-n11p_a1
Ещё можно взять Кинетик, он кое-что умеет со своей родной прошивкой.
Функция, которая вам требуется от какого угодно роутера - это ручная настройка правил NAT.
maxsmeller, занимаюсь фильтрацией компьютера с помощью семейного ДНС. Необходимо залатать некоторые лазейки в виде VPN расширений (которые каким-то чудом подменяют DNS в браузере под гостевой учёткой, хотя даже сам пользователь сделать этого не может), например. Поэтому принудительное использование DNS звучит для меня очень привлекательно.
dofoh88849, это не поможет, так как подобные расширения не ресолвят ничего через DNS, и вообще использование слова "VPN" применительно к браузерным расширениям некорректно: это прокси, а не VPN. Иногда это реализуется даже через явное использование каких-то прокси (обычно socks5), прошитых в расширении или получаемых им по API от владельцев расширеня, иногда же запросы оборачивают в другие запросы. В любом случае, фильтровать тут разве что API-сервера расширения или подсовываемый им прокси, что нетривиально и не поможет при частой их смене.
Необходимо залатать некоторые лазейки в виде VPN расширений (которые каким-то чудом подменяют DNS в браузере под гостевой учёткой, хотя даже сам пользователь сделать этого не может), например.
Блокируй на роутере все TCP/UDP на порт 53, кроме адреса самого роутера и твоих "правильных" внешних DNS-серверов.
Впрочем, это не поможет, если запросы от софта инкапсулируются и идут через уже установленный канал на внешний сервер.
dofoh88849, нет, он даёт понять адрес выходной ноды прокси-сервера расширения. DNS у клиента при этом не подменяется, потому что ресолвинг идёт на стороне прокси-сервера.
Вообще, судя по вопросам, речь идёт о защите детей от такого контента. И надо выбирать пути решения в зависимости от того, что именно представляет угрозу:
1. Если ребёнок может попасть на подобный контент случайно, то в целом не имеет особого смысла сильно закручивать гайки. Достаточно простых средств (родительский контроль в браузере, отдельные приложения и расширения для этого), чтобы риск стал околонулевым. Даже с reddit проблема легко решается: если ребёнку он зачем-то нужен (что довольно странно), можно его заранее там зарегать, и пусть сидит залогиненный с правильно выставленным возрастом и закрытым NSFW контентом.
2. Если же ребёнок целенаправленно ищет подобный контент, то скорее всего он его найдёт, как ни закручивай гайки. Причём необязательно даже на домашнем компьютере. Есть же телефон, есть компьютеры друзей, куда он будет чаще ходить в гости... Тут правильнее своевременно воспитывать ребёнка, создавать нормальные доверительные и авторитетные отношения с ним. И важно ещё, чтобы ребёнок своевременно получил понимание, что компьютер можно использовать в более интересных и полезных целях. Творчество (рисовать, писать музыку), программирование, интересные сообщества, годный контент - это способно занять подавляющую часть интереса большинства детей при правильном подходе.
Совсем избежать интереса к подобному контенту малореально. Но при правильном подходе к воспитанию этот интерес не будет чересчур сильно и опасно рано развит. Ну посмотрит пару раз и всё, не так редко на этом всё и заканчивается. Интерес детей к взрослому контенту сильно преувеличен. Зато при правильном воспитании на ребёнка будет больше влиять дискомфорт от нарушения доверия родителей. Напротив, чудовищные усилия по ограничению и излишнее давление приведут к тому, что ребёнок будет нарушать запреты и органичения из чувства протеста.
Пример на схожую тему. Моя сестра когда-то начала курить. И вот приходит она домой и по маминому лицу видит, что та понимает, что она курила, но ни слова не сказала и никак не отразила это. Ей стало стыдно настолько сильно, что она сразу же прекратила и больше никогда не курила (уже лет 25 лет прошло). Причём мама, вероятно, не имела мотивации именно так влиять на сестру своим поведением, просто ей, скорее всего, было сложно что-либо сказать с учётом того, что она сама курила ещё в школе и продолжала регулярно начинать снова курить во взрослом возрасте (в том числе втайне от отца, с которым они бросали курить совместно, и отец реально бросил в итоге, а она нет). В итоге не запреты или наказания помогли, а именно хорошие авторитетные отношения с родителями.
Это непростая тема, она очень сильно зависит от конкретного ребёнка и конкретных родителей, характера и предыстории их отношений.
shurshur, спасибо за комментарий. Да, вы безусловно во многом правы. Но, увы, у меня, как и у тысяч других интернет-зависимых людей родителей как таковых особо не было, поэтому приходится сейчас самому все последствия выруливать. Я сейчас пишу гайд для людей о фильтрации на абсолютно всех устройствах (роутеры, приставки, тв, телефоны, пк) без опекуна и переработки их в мусор. Короче говоря, моя задача - превратить технику в полезный инструмент, а не бремя.
Мой телефон уже полностью отфильтрован не только от NSFW, но и от любого деструктива. Причём настолько, что если попытаюсь обойти систему, то телефон мигом превратится в кирпич. Осталось только доработать Windows до идеала. В итоге прихожу походу к решению в виде простой блокировки папки extensions с помощью Cold Turkey. Софт не даст возможности удалять или добавлять новые файлы в папку и заблокирует любые портейбл браузеры. Вроде как обойти больше DNS никак не получится...
