Способ 1. Самый простой способ — воспользоваться интернет-фильтром SkyDNS с бесплатным пробным периодом на тарифе «Домашний». Используя данный сервис вы сможете оградить всех пользователей домашней сети от нежелательной информации, рекламы и запрещенного контента.
Отбирайте разрешенные категории сайтов (всего в списке больше шестидесяти категорий), создавайте собственные «черные» и «белые» списки и анализируйте, какие сайты пытались открыть. С помощью фильтра SkyDNS можно заблокировать доступ и всем устройствам в домашней сети, и только определенным.
Посмотрим, что нужно сделать, чтобы заблокировать доступ к сайту youtube.com. Для этого внесем в «Запрещающий список» Ютуб. В этом случае будет заблокирован весь домен, включая его поддомены.
Затем в веб-конфигураторе интернет-центра на странице «Интернет-фильтр» включите фильтр SkyDNS и установите профиль «Основной» для определенного устройства. Фильтр SkyDNS также можно применить для всех зарегистрированных и незарегистрированных устройств.
После этой настройки рекомендуем перезагрузить интернет-центр и затем проверить доступ к заблокированному сайту.
В некоторых случаях вы можете заблокировать доступ не только к одному сайту, но и к целой категории. Например, для блокировки Skype и других мессенджеров заблокируйте категорию «Чаты и мессенджеры».
Дополнительную информацию вы можете найти на сайте: https://www.skydns.ru/guides/faq/
Способ 2. Способ блокировки доступа к сайтам через параметры DNS в веб-интерфейсе интернет-центра.
TIP: Справка: Данный способ позволит заблокировать доступ только всем хостам в локальной сети к сайту, который вы укажите. Его нельзя применить для определенного хоста.
Настройка выполняется из веб-интерфейса роутера. Перейдите в меню "Интернет-фильтры" на вкладку "Настройка DNS". Нажмите "Добавить сервер".
В поле "Адрес сервера DNS" нужно указать любой несуществующий (свободный, незадействованный) IP-адрес из диапазона частных "серых" адресов. Это может быть IP-адрес из другой подсети, отличной от сети интернет-центра. В нашем примере при запросе к сайту youtube.com хосту будет отдан несуществующий адрес 10.10.10.5 и соответственно страница не откроется.
После этой настройки проверьте доступ к заблокированному сайту.
NOTE: Важно! Созданные привязки DNS-сервера для резолва конкретного домена имеют больший приоритет перед интернет-фильтрами.
Способ 3. Способ блокировки доступа к сайтам средствами интернет-центра (с помощью команды ip host).
TIP: Справка: Данный способ позволит заблокировать доступ только всем хостам в локальной сети к сайту, который вы укажите. Его нельзя применить для определенного хоста.
Настройка выполняется из интерфейса командной строки (CLI) интернет-центра.
Для блокировки сайта будем использовать команду ip host
(config)> ip host
Usage template:
host {domain} {address}
Например, если нужно заблокировать доступ к youtube.com выполните команды:
(config)> ip host youtube.com 10.10.10.5
Dns::Manager: Added static record for "youtube.com", address 10.10.10.5.
(config)> ip host www.youtube.com 10.10.10.5
Dns::Manager: Added static record for "www.youtube.com", address 10.10.10.5.
(config)> system configuration save
В качестве IP-адреса нужно указать любой несуществующий (свободный, незадействованный) IP-адрес из диапазона частных "серых" адресов. Это может быть IP-адрес из другой подсети, отличной от сети интернет-центра.
В нашем примере при запросе к сайту youtube.com хосту будет отдан несуществующий адрес 10.10.10.5 и соответственно страница не откроется. В интернет-центрах Keenetic можно добавить до 64 статических привязок IP-адреса к доменному имени с помощью команды ip host.
Для удаления привязки используйте ту же команду, только добавляя префикс no в начале. Например:
(config)> no ip host youtube.com 10.10.10.5
Dns::Manager: Deleted record "youtube.com", address 10.10.10.5.
(config)> system configuration save
NOTE: Важно! Созданные статические записи привязки IP-адресов к домену на интернет-центре с помощью команды ip host имеют больший приоритет перед интернет-фильтрами.
Способ 4. Способ блокировки сайта средствами сервиса NextDNS.
Как и SkyDNS сервис NextDNS поддерживает "Черные" (Denylist) и "Белые" (Allowlist) списки доступа. На момент публикации статьи он являлся бесплатным при числе DNS-запросов менее 300 тысяч в месяц: https://nextdns.io/pricing
Для его использования сформируйте адрес-профиль:
Добавьте указанные адреса серверов DoT (DNS-over-TLS) и DoH (DNS-over-HTTPS) на странице "Интернет-фильтр" веб-конфигуратора:
Подробнее об этом можно прочитать в инструкции "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов".
После этого можно добавлять имена блокируемых сайтов в разделе Denylist:
Также добавить указанные в профиле адреса серверов DoT и DoH можно при помощи команд:
dns-proxy tls upstream 45.90.28.196 853 sni 8f5a36.dns.nextdns.io
system configuration save
dns-proxy https upstream https://dns.nextdns.io/8f5a36 dnsm
system configuration save
Проверьте корректность добавления:
show dns-proxy:
# ndnproxy statistics file
Total incoming requests: 184
Proxy requests sent: 167
Cache hits ratio: 0.092 (17)
Memory usage: 49.46K
DNS Servers
Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank
127.0.0.1 40500 167 157 2 48ms 51ms 4
Способ 5. Способ блокировки сайта через правила межсетевого экрана интернет-центра Keenetic.
Подробное описание работы с Межсетевым экраном в интернет-центрах Keenetic представлено в статье "Межсетевой экран".
Различные примеры использования правил межсетевого экрана можно найти в статье "Примеры использования правил межсетевого экрана".
Например, заблокируем правилами межсетевого экрана доступ всем устройствам локальной сети к сайту социальной сети знакомств Love.Ru.
NOTE: Важно! В настройках правил межсетевого экрана интернет-центра Keenetic нельзя использовать доменные имена (нельзя указать символьное имя домена или сайта), а можно использовать только IP-адреса. В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. IP-адресов у веб-сайта может быть несколько, и в этом случае нужно блокировать доступ ко всем IP-адресам. К тому же веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS. Рекомендуем блокировать трафик к сайту по обоим протоколам.
Первый способ узнать IP-адрес сайта — использовать в командной строке операционной системы специальную команду:
nslookup <имя_веб_сайта>
В нашем примере выполним команду nslookup love.ru
Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт.
Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru). В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку "Проверить". После этого вы увидите все IP-адреса, на которых работает сайт. Например:
Теперь, выяснив IP-адреса веб-сайта, можно приступать к созданию правил межсетевого экрана.
В нашем примере сайт использует 4 IP-адреса, создадим для интерфейса локальной сети "Домашняя сеть" 8 правил для блокировки трафика по протоколам: 4 для HTTP и 4 для HTTPS.
Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS). Мы используем блокировку доступа к сайту для всех устройств локальной сети, но если вам нужно запретить доступ только для конкретного хоста, при создании правила укажите его IP-адрес в поле "IP-адрес источника".
После создания правил проверьте доступ к сайту.
Данный способ бывает не всегда удобен. Например, чтобы заблокировать Skype на сетевом уровне необходимо знать все используемые им IP-адреса. Найти их все и поддерживать список в актуальном состоянии - трудновыполнимая задача. Также многие сайты в целях повышения производительности используют несколько разных адресов для загрузки своих данных. Например, "ВКонтакте" использует адрес vk.com для загрузки страниц, а картинки и прочие элементы страницы грузятся с домена userapi.com.
Для блокировки таких сайтов рекомендуем использовать интернет-фильтр SkyDNS.
TIP: Примечание:
Если вы ранее заходили на сайты, относительно которых меняли настройки, то ответы DNS-серверов скорее всего, находятся в кэше браузера, клиента DNS на локальном компьютере или кэширующем DNS на роутере.
Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.
Если после перезапуска браузера изменений нет, выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш DNS-клиента Windows.
В еще более редких случаях может понадобиться очистить кэш DNS на роутере (достаточно будет перезапустить роутер).