Родительский контроль — год спустя после начала пандемии

Родительский контроль — год спустя после начала пандемии, feature-request

johnleibovitz

Guest

26.04.2021 12:29:00

Не могу поверить, что прошёл уже больше года пандемии — когда каждый дом стал офисом, а каждый офис — домом — и при этом Ubiquiti так и не добавила простые родительские настройки в Unifi. Да-да, это профессиональное оборудование, корпоративное, бла-бла-бла. Но факт в том, что многие используют Unifi дома. (Опять же, если у вас в стенах проведён Ethernet, Unifi практически единственный вариант.) И в этом нет ничего сложного — Ubiquiti уже сделали такую функцию для Amplifi. Так почему бы просто не выпустить приложение, которое позволит родителям контролировать интернет для детей? <конец жалобы>

sdelnevo Guest	#2 18.08.2021 04:49:00 Привет, @amteza и @ChessMck, извиняюсь за поздний ответ и большое спасибо за помощь снова. Стив

ChessMck

Guest

17.08.2021 23:07:00

Это придется заблокировать в UDMP. WAN_OUT поймает всё. Один из моих постов — скопирую сюда: обычно блокируют на входе (IN), потому что там работаете с «источником». Хотя это кажется наоборот, нужно думать как маршрутизатор. Направление IN — это пакет данных, входящий в маршрутизатор для маршрутизации. Если у вас есть источник — блокируете на IN, если есть пункт назначения — блокируете на OUT. Иногда мне самому сложно помнить, что надо думать как маршрутизатор 😃, и помогает посмотреть на схему прохода пакета в первой ссылке ниже. К тому же, вторая ссылка — отличное объяснение, как работают IN/OUT/LOCAL с графикой, если вы новичок в фаерволах...

https://community.ui.com/questions/Laymans-firewall-explanation/2dafa379-3269-4749-b224-0dee15374de9

https://community.ui.com/questions/Sanity-check-for-WAN-Firewall-rules/e82408d3-e8c9-470c-a284-e28528678fde#answer/71475b15-8623-41f1-ab93-5e723018c1aa

amteza

Guest

17.08.2021 22:09:00

Я сейчас не совсем понимаю, как это сделать на UDM. Вот какие правила нужно добавить:
- Правило, разрешающее трафик UDP на порт 53 от вашего Pi-Hole из LAN в WAN.
- Правило, блокирующее эти IP-адреса (из списков DoH) из LAN в WAN.
- Правило, блокирующее любой другой UDP-трафик на порт 53 из LAN в WAN (НЕОБЯЗАТЕЛЬНО: если хотите заставить такие программы, как Netflix, использовать ваш внутренний DNS).

В моём случае у меня есть ipset-списки с IP для IPv6 и IPv4, и я использую iptables. Так что, не уверен, насколько это может помочь, но если нужны эти правила — с радостью поделюсь.

sdelnevo Guest	#5 17.08.2021 21:47:00 Извините за беспокойство, но мне добавить этот список как правило фаервола в мой udmb или как блокировку в pi-hole? Если это правило фаервола, то оно должно применяться на wan out или lan in? Стив

sdelnevo Guest	#6 17.08.2021 21:28:00 Привет, @ChessMck и @amteza, это здорово, буду использовать эти списки. Большое спасибо, Стив.

ChessMck Guest	#7 17.08.2021 20:08:00 Отлично — спасибо огромное!! 👍

amteza Guest	#8 17.08.2021 19:48:00 Могу предложить вот эти? Они более свежие по сравнению с теми, что у caliban2. https://github.com/dibdot/DoH-IP-blocklists

ChessMck Guest	#9 17.08.2021 19:39:00 Стив — легко читается 👍 и если кому-то нужен список DoH — это не моё творение, но я знаю автора, который на форуме — https://github.com/caliban2/dohservers

sdelnevo

Guest

#10

17.08.2021 18:43:00

Привет! Я только что перечитал свой последний ответ, и не понимаю, как ты это вообще понял, ха-ха. Вместо pinhole должно было быть Pi-hole, а HOH — DOH. Да, я принудительно направляю всех клиентов в своей сети, используя правила файрвола в моём UDMB, чтобы они выходили только через мой Pi-hole, настроенный как рекурсивный DNS. Все остальные DNS-серверы заблокированы, это отлично работает и обеспечивает фильтрацию через Pi-hole. Добавление в конфиг unbound моего Pi-hole строки local-zone: "use-application-dns.net" always_nxdomain прекрасно блокирует DOH в Mozilla, осталось только добиться работы с Edge и Chrome. Проверю это в офисе, с теми IP, что ты прислал. Большое спасибо за помощь и совет, Стив!

ChessMck

Guest

#11

17.08.2021 18:31:00

Стив, я только что понял, что у тебя роутер без графического интерфейса. Да, у такого роутера есть варианты настройки, включая блокировку Firefox через DNSBL, если я правильно помню. Я не пользуюсь unbound, так что не в курсе всех его опций и того, как они реально работают. Только читал о них. И параметр always_nxdomain там есть, чего нет в UniFi. Насколько помню, у этого роутера ещё есть «безопасный поиск», где тоже можно заблокировать Firefox DoH. Думаю, они делают по аналогии с тем, как я на Edgerouter — в фоне блокируют IP-адреса.

Интересно, они блокируют весь список DoH-серверов или только дефолтный Cloudflare? Ведь DoH — это просто HTTPS-пакет на порт 443, и такой пакет ничем не отличается от любого другого HTTPS, разве что тем, что идёт на конкретные IP-адреса. Не думаю, что существует DPI для DoH-пакетов, так как они зашифрованы, и работать можно только с заголовками IP.

Вместо дефолтного Cloudflare 1.1.1.1 в Firefox попробуй проверить пару таких адресов, чтобы понять, блокируются ли они тоже:

185.134.196.54
104.24.122.53
89.187.169.86
209.141.34.95
5.45.107.88
96.113.151.147
108.61.201.119
139.59.48.222
185.228.168.168

sdelnevo Guest	#12 17.08.2021 18:14:00 Извиняюсь за путаницу, мои блок-листы в pinhole состоят из DNS-имен, поэтому я пытался найти способ заблокировать их при использовании HOH, но списки на основе IP-адресов, вероятно, будут проще. Стив.

ChessMck

Guest

#13

17.08.2021 18:10:00

Разве это не использование iplist для блокировки сайтов (то, что я называю черным списком и сам часто использую)? DoH — это только запрос DNS IP-адреса. Если блокировать конкретные IP сайтов, они всё равно останутся заблокированными, когда IP действительно используется после запроса. Обсуждение выше, как я понял, было про выбор DNS — например, OpenDNS Family или Pi для блокировки сайтов для взрослых. Само по себе это не будет работать с DoH.

sdelnevo

Guest

#14

17.08.2021 18:01:00

Я добавил local-zone: "use-application-dns.net" always_nxdomain в секцию server: файла /etc/unbound/unbound.conf.d/pi-hole.conf, как на скриншоте

. Тестировал с Firefox при включённом DOH — сайты всё равно успешно блокируются, так что, судя по моим ограниченным тестам, всё работает. Стив

amteza Guest	#15 17.08.2021 02:53:00 Именно то, что говорит @ChessMck, @RobbieH. Любой запрос к DNS-серверу, который пытается пройти через мой WAN с моего LAN, блокируется. Разрешено подключаться к другим DNS-серверам снаружи только IP-адресу сервера DNS Unbound.

ChessMck Guest	#16 13.08.2021 22:34:00 @RobbieH Ты блокируешь все их прямые IP-адреса — так делаю я...

RobbieH Guest	#17 13.08.2021 21:34:00 @amteza Как вы блокируете DoH, если он работает через порт 443?

amteza

Guest

#18

13.08.2021 21:08:00

Что-то похожее на то, что я делаю, если вдуматься. Мой подход — быть открытым с детьми, но при этом я контролирую WiFi сеть, чтобы убрать рекламу и направлять все DNS-запросы на мой сервер Unbound. Для этого у меня есть куча правил, которые блокируют любые другие DOH или DNS-запросы, чтобы все шло именно на мой сервер Unbound. В целом, работает отлично. Пришлось сделать несколько исключений (на основе MAC-адресов), чтобы некоторые устройства могли обращаться к 1.1.1.1 и 8.8.8.8, но кроме этого — пока всё отлично. Учтите, что у моих детей пока нет устройств с 3G/4G, а это в будущем изменит мою схему контроля на схему воспитательную. Для всего этого я использую OpenWrt с модулями BanIP и AdBlock. Остальная часть сети построена на оборудовании Ubiquiti.

RobbieH Guest	#19 12.08.2021 18:54:00 Я собираюсь засчитать эти 45 минут в свои CPE.

sdelnevo Guest	#20 12.08.2021 18:33:00 Привет! Спасибо ещё раз за помощь и отличное объяснение. Стив.

Читают тему (гостей: 1)