Как заблокировать доступ к определенному сайту?

Способ 1. Самый простой способ — воспользоваться интернет-фильтром SkyDNS с бесплатным пробным периодом на тарифе «Домашний». Используя данный сервис вы сможете оградить всех пользователей домашней сети от нежелательной информации, рекламы и запрещенного контента.

Отбирайте разрешенные категории сайтов (всего в списке больше шестидесяти категорий), создавайте собственные «черные» и «белые» списки и анализируйте, какие сайты пытались открыть. С помощью фильтра SkyDNS можно заблокировать доступ и всем устройствам в домашней сети, и только определенным.

Посмотрим, что нужно сделать, чтобы заблокировать доступ к сайту youtube.com. Для этого внесем в «Запрещающий список» Ютуб. В этом случае будет заблокирован весь домен, включая его поддомены.

skydns-block-01.png

Затем в веб-конфигураторе интернет-центра на странице «Интернет-фильтр» включите фильтр SkyDNS и установите профиль «Основной» для определенного устройства. Фильтр SkyDNS также можно применить для всех зарегистрированных и незарегистрированных устройств.

skydns-block-02.png

После этой настройки рекомендуем перезагрузить интернет-центр и затем проверить доступ к заблокированному сайту.

В некоторых случаях вы можете заблокировать доступ не только к одному сайту, но и к целой категории. Например, для блокировки Skype и других мессенджеров заблокируйте категорию «Чаты и мессенджеры».

Дополнительную информацию вы можете найти на сайте: https://www.skydns.ru/guides/faq/

Способ 2. Способ блокировки доступа к сайтам через параметры DNS в веб-интерфейсе интернет-центра.

TIP: Справка: Данный способ позволит заблокировать доступ только всем хостам в локальной сети к сайту, который вы укажите. Его нельзя применить для определенного хоста.

Настройка выполняется из веб-интерфейса роутера. Перейдите в меню "Интернет-фильтры" на вкладку "Настройка DNS". Нажмите "Добавить сервер".

dns-01.png

В поле "Адрес сервера DNS" нужно указать любой несуществующий (свободный, незадействованный) IP-адрес из диапазона частных "серых" адресов. Это может быть IP-адрес из другой подсети, отличной от сети интернет-центра. В нашем примере при запросе к сайту youtube.com хосту будет отдан несуществующий адрес 10.10.10.5 и соответственно страница не откроется.

dns-02.png

dns-03.png

После этой настройки проверьте доступ к заблокированному сайту.

dns-04.png

NOTE: Важно! Созданные привязки DNS-сервера для резолва конкретного домена имеют больший приоритет перед интернет-фильтрами.

Способ 3. Способ блокировки доступа к сайтам средствами интернет-центра (с помощью команды ip host).

TIP: Справка: Данный способ позволит заблокировать доступ только всем хостам в локальной сети к сайту, который вы укажите. Его нельзя применить для определенного хоста.

Настройка выполняется из интерфейса командной строки (CLI) интернет-центра.

Для блокировки сайта будем использовать команду ip host

(config)> ip host

 Usage template:

             host {domain} {address}


Например, если нужно заблокировать доступ к youtube.com выполните команды:

(config)> ip host youtube.com 10.10.10.5
Dns::Manager: Added static record for "youtube.com", address 10.10.10.5.
(config)> ip host www.youtube.com 10.10.10.5
Dns::Manager: Added static record for "www.youtube.com", address 10.10.10.5.
(config)> system configuration save


В качестве IP-адреса нужно указать любой несуществующий (свободный, незадействованный) IP-адрес из диапазона частных "серых" адресов. Это может быть IP-адрес из другой подсети, отличной от сети интернет-центра.

В нашем примере при запросе к сайту youtube.com хосту будет отдан несуществующий адрес 10.10.10.5 и соответственно страница не откроется. В интернет-центрах Keenetic можно добавить до 64 статических привязок IP-адреса к доменному имени с помощью команды ip host.
Для удаления привязки используйте ту же команду, только добавляя префикс no в начале. Например:

(config)> no ip host youtube.com 10.10.10.5
Dns::Manager: Deleted record "youtube.com", address 10.10.10.5.
(config)> system configuration save

 

NOTE: Важно! Созданные статические записи привязки IP-адресов к домену на интернет-центре с помощью команды ip host имеют больший приоритет перед интернет-фильтрами.

Способ 4. Способ блокировки сайта средствами сервиса NextDNS.

Как и SkyDNS сервис NextDNS поддерживает "Черные" (Denylist) и "Белые" (Allowlist) списки доступа. На момент публикации статьи он являлся бесплатным при числе DNS-запросов менее 300 тысяч в месяц: https://nextdns.io/pricing
​​Для его использования сформируйте адрес-профиль:

nextdns01.png

Добавьте указанные адреса серверов DoT (DNS-over-TLS) и DoH (DNS-over-HTTPS) на странице "Интернет-фильтр" веб-конфигуратора:

nextdns02.png

​Подробнее об этом можно прочитать в инструкции "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов".

После этого можно добавлять имена блокируемых сайтов в разделе Denylist:

nextdns03.png

Также добавить указанные в профиле адреса серверов DoT и DoH можно при помощи команд:

dns-proxy tls upstream 45.90.28.196 853 sni 8f5a36.dns.nextdns.io
system configuration save​

dns-proxy https upstream https://dns.nextdns.io/8f5a36 dnsm​
system configuration save​


Проверьте корректность добавления:

show dns-proxy:
# ndnproxy statistics file

Total incoming requests: 184
Proxy requests sent: 167
Cache hits ratio: 0.092 (17)
Memory usage: 49.46K

DNS Servers

Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank
127.0.0.1 40500 167 157 2 48ms 51ms 4

 

Способ 5. Способ блокировки сайта через правила межсетевого экрана интернет-центра Keenetic.

Подробное описание работы с Межсетевым экраном в интернет-центрах Keenetic представлено в статье "Межсетевой экран".

Различные примеры использования правил межсетевого экрана можно найти в статье "Примеры использования правил межсетевого экрана".

Например, заблокируем правилами межсетевого экрана доступ всем устройствам локальной сети к сайту социальной сети знакомств Love.Ru.

NOTE: Важно! В настройках правил межсетевого экрана интернет-центра Keenetic нельзя использовать доменные имена (нельзя указать символьное имя домена или сайта), а можно использовать только IP-адреса. В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам. К тому же веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS. Рекомендуем блокировать трафик к сайту по обоим протоколам.

Первый способ узнать IP-адрес сайта — использовать в командной строке операционной системы специальную команду:

nslookup <имя_веб_сайта>


В нашем примере выполним команду nslookup love.ru

nslookup01.png

Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт.

Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку "Проверить". После этого вы увидите все IP-адреса, на которых работает сайт. Например:

nslookup02-web.png

Теперь, выяснив IP-адреса веб-сайта, можно приступать к созданию правил межсетевого экрана. 

В нашем примере сайт использует 4 IP-адреса, создадим для интерфейса локальной сети "Домашняя сеть" 8 правил для блокировки трафика по протоколам: 4 для HTTP и 4 для HTTPS.
Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS). Мы используем блокировку доступа к сайту для всех устройств локальной сети, но если вам нужно запретить доступ только для конкретного хоста, при создании правила укажите его IP-адрес в поле "IP-адрес источника".

fw01.png

fw02.png

После создания правил проверьте доступ к сайту.

Данный способ бывает не всегда удобен. Например, чтобы заблокировать Skype на сетевом уровне необходимо знать все используемые им IP-адреса. Найти их все и поддерживать список в актуальном состоянии - трудновыполнимая задача. Также многие сайты в целях повышения производительности используют несколько разных адресов для загрузки своих данных. Например, "ВКонтакте" использует адрес vk.com для загрузки страниц, а картинки и прочие элементы страницы грузятся с домена userapi.com.
Для блокировки таких сайтов рекомендуем использовать интернет-фильтр SkyDNS.

TIP: Примечание: 

Если вы ранее заходили на сайты, относительно которых меняли настройки, то ответы DNS-серверов скорее всего, находятся в кэше браузера, клиента DNS на локальном компьютере или кэширующем DNS на роутере.

Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.

Если после перезапуска браузера изменений нет, выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш DNS-клиента Windows.

В еще более редких случаях может понадобиться очистить кэш DNS на роутере (достаточно будет перезапустить роутер).

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 74 из 127