Как заблокировать dns на роутере

Установка Яндекс DNS на роутере Zyxel Keenetic

Однако, если вы впервые зашли в админку роутера Zyxel Keenetic, скорее всего вы не найдете там настройки Яндекс ДНС. Дело в том, что прошивка роутеров этой фирмы состоит из различных модулей, и в базовой версии не содержит дополнительных настроек — нужно дополнительно установить компонент для работы с Яндекс DNS.

Для этого перейдите в нижнее меню в разделе «Система» и откройте вкладку «Обновление»

Здесь нажимаем кнопку «Показать компоненты» и ищем нужный модуль — отмечаем его галочкой и нажимаем кнопку «Установить»

Настройка Яндекс DNS на Zyxel Keenetic

После перезагрузки роутера перейдите в раздел «Безопасность» и откройте вкладку «Яндекс.DNS». Активируйте функцию, установив флажок «Включить».

Здесь вы можете назначить свое правило фильтрации каждому компьютеру, зарегистрированному в сети (о том, как их зарегистрировать, я писал в статье о блокировке сайтов — читайте) или установить одно правило фильтрации для всех незарегистрированных устройств. Например, назначьте семейный режим для того, за кого сидит ваш ребенок, а базовый для своего.

Теперь, что они означают:

• Без фильтрации
• Базовый Интернет — без фильтрации трафика, но в качестве DNS-серверов будет использоваться надежный сервер Яндекса
• Безопасный Интернет — предназначен для защиты вашей сети от мошеннических веб-сайтов, а также для блокировки вирусов
• Семейный Интернет — дополнительно защищает пользователя от веб-сайтов, содержащих эротический контент

В целом, как видите, настройки Яндекс DNS на роутерах Zyxel Keenetic очень гибкие и простые в настройке, что немаловажно, когда роутер используется в качестве основного устройства домашней сети.

Кстати, есть и поддержка сервиса SkyDNS, о котором я напишу отдельно.

2. Проверьте работу интернета

Если роутер был предварительно настроен провайдером или настроен в автоматическом режиме, то интернет может включиться уже через несколько секунд после подключения роутера к компьютеру.

Чтобы это проверить, запустите браузер и попробуйте открыть несколько сайтов. Если проблем с доступом к интернет-ресурсам нет, четвертый пункт статьи можно пропустить.

Как ограничить доступ к YouTube на телефоне

Мы уже говорили о том, как установить безопасный режим, заблокировать отдельное видео и канал. Давайте рассмотрим другие способы ограничения доступа ваших детей к неприемлемому видеоконтенту.

“Родительский контроль” в смартфоне

Чтобы полностью прекратить использование YouTube, удалите приложение со своего устройства. Затем перейдите в Play Маркет и нажмите на 3 полоски в верхнем левом углу.

Откройте настройки и нажмите «Родительский контроль”.

Переведите рычажок в активное положение и придумайте код, который ребенок не узнает. Затем нажмите на раздел «Игры и приложения» и установите возрастное ограничение, для YouTube это «12+», но можно установить и более строгое ограничение «3+”.

Эта учетная запись больше не сможет загружать в магазине игры и приложения, которым более 3 лет.

Примечание. Функция родительского контроля также доступна на телевизорах Smart TV всех марок. Чтобы узнать, как его активировать, см руководство к вашему устройству.

Как создавать правила? — Инструкция

Выполнив описанные действия, вы сможете создавать и изменять правила посещения веб-сайтов.

• Нажмите кнопку «Добавить новый ↓

Откроется страница, где необходимо настроить следующие параметры: ↓↓↓

• MAC-адрес ведомого устройства: укажите здесь MAC-адреса компьютера или устройства, к которым должно применяться это правило. Если вы хотите применить его ко всем устройствам, оставьте это поле пустым. В списке Все MAC-адреса в текущей локальной сети вы можете выбрать нужный адрес из устройств, подключенных к маршрутизатору.
• Разрешенное доменное имя: раздел позволяет указать до 8 URL-адресов. Кроме того, вместо полного адреса нужно ввести всего одно слово, например, youtube. Маршрутизатор будет блокировать все ссылки, содержащие это слово
• Описание сайта: поле, описывающее сайт. Должен быть на английском
• Время действия: установите расписание для этого правила. По умолчанию используется Anytime, то есть Anytime. Вы можете создать отдельное расписание для каждого правила. Сделать это можно, перейдя на вкладку «Контроль доступа», пункт «Расписание». Нажмите «Добавить новый» и добавьте новое расписание. Не забудьте включить описание в поле Описание расписания. Это будет имя создаваемого расписания. Имя появится в списке «Эффективное время.
• Статус: Опция Отключено разрешает доступ ко всем ресурсам, кроме указанных, т.е доступ к указанным ресурсам будет запрещен. Выбор Enabled разрешает доступ только к веб-сайтам, указанным в разрешенном доменном имени, и запрещает доступ ко всем остальным. Опция применяется к устройствам, указанным в списке MAC-адресов.

PS — После завершения настроек нажмите Сохранить.

Таким образом, вы можете легко заблокировать Youtube на роутере TP-Link.

Роутеры «Zyxel»

Эта процедура немного отличается на маршрутизаторах этой марки. Отличие в том, что доступ настраивается с помощью встроенного в их прошивку частично бесплатного сервиса SkyDNS.

Он позволяет настроить правила доступа к сайту, но в ограниченном режиме.

Таким образом, невозможно установить индивидуальные настройки для разных устройств. Для этого вам нужно будет приобрести платный план.

• Чтобы заблокировать YouTube на роутере Zyxel, выполните следующие действия: ↓↓↓

1. Перейдите в настройки вашего устройства, перейдя в браузере по адресу 192.168.1.1.
2. Перейдите на вкладку Безопасность-SkyDNS.
3. Вы должны ввести свое имя пользователя и пароль, чтобы войти в SkyDNS. Если вы не зарегистрированы на сайте, перейдите по ссылке в окне авторизации и зарегистрируйтесь.
4. После входа в личный кабинет откройте вкладку «Фильтр». Здесь вы можете выбрать категории веб-сайтов, которые вы хотите заблокировать, или установить определенные URL-адреса. Например, если вы хотите заблокировать все социальные сети, просто выберите соответствующую категорию.
5. Вы можете заблокировать доступ к определенному веб-сайту на вкладке Домены. В разделе Черный список введите нужный URL, в нашем случае http://youtube.com. Нажмите кнопку «Добавить.

Роутеры «Asus»

• Теперь давайте посмотрим, как заблокировать YouTube на роутере Asus: ↓↓↓

1. В браузере перейдите по адресу 192.168.1.1.
2. В левой части выберите раздел Брандмауэр.
3. Перейдите на вкладку URL-фильтр. В строке «Включить фильтр URL» выберите «Включено”.
4. Блокировка ресурсов осуществляется с помощью списка ключевых слов. Если вы введете туда «youtube», роутер заблокирует все ссылки, содержащие это слово. Вы можете добавить ключевые слова, нажав кнопку «плюс.
5. Нажмите кнопку Применить.

Две категории сайтов не могут быть заблокированы. Это страницы, сжатые с помощью технологии сжатия HTTP, и страницы https.

Результат

Используя описанные выше методы, вы можете отключить YouTube, а также заблокировать приложение YouTube на своем маршрутизаторе.

7. Установите маршрутизатор в оптимальном месте

В идеале роутер должен находиться в центре зоны, где вы используете Wi-Fi. В результате сигнал будет одинаково доступен для всех подключенных устройств.

Чем меньше стен, мебели и других препятствий между принимающим устройством и маршрутизатором, тем лучше работает беспроводная сеть.

Youtube — самый известный видеохостинг в мире. Миллионы видео загружаются и просматриваются каждый день. И среди такого материала на YouTube-каналах всегда найдется что-то опасное для любознательных детей. Чтобы обезопасить ребенка, но в то же время не лишать его доступа в Интернет, родители могут заблокировать доступ к этому сайту. Самый безопасный способ сделать это с помощью маршрутизатора. Но сначала нужно разобраться, как заблокировать ютуб на роутере.

Как полностью или частично заблокировать YouTube от ребенка на компьютере и в телефоне

Сегодня мы поговорим о том, как заблокировать YouTube от ребенка. Эта тема волнует многих родителей, ведь информацию из интернета надо уметь фильтровать, иначе может пострадать не только психика детей, но и взрослых. Есть несколько способов снизить риск воздействия неприемлемого видеоконтента на вашего ребенка, но вы должны понимать, что ограничения работают только сейчас, и возрастную блокировку можно обойти.

Яндекс DNS на новом роутере Keenetic

Для активации контент-фильтра Яндекс DNS в обновленной версии интернет-центра дополнительно ничего устанавливать не нужно, так как этот компонент уже включен в состав ПО. Если нет, вы можете добавить его в меню «Общие настройки системы». Здесь в блоке «Обновления и компоненты» нажмите кнопку «Сменить комплект»

И поставьте галочку «Яндекс DNS»

Для настройки режима перейдите в раздел «Интернет-фильтр» и выберите «Яндекс.DNS» из выпадающего списка проводных сервисов

Затем вы можете установить одно правило по умолчанию для всех подключенных устройств

Или назначьте индивидуальное ограничение для каждого компьютера или смартфона — например, одно для детей и одно для взрослых.

Как же сделать такой запрет ? — легко

Доступ к любому сайту в Интернете можно закрыть несколькими способами.

• Блокировка на роутере удобна тем, что позволяет настроить доступ для всех или выбранных устройств, подключенных к роутеру, одновременно с одного компьютера или мобильного устройства. Для каждого из них вы можете настроить индивидуальные правила доступа к сайту.

→ Как заблокировать Youtube от роутера .

В зависимости от марки устройства процесс имеет свои особенности. Однако во всех моделях такая блокировка осуществляется с помощью настроек роутера.

На устройствах TP-Link это работает так: ↓↓↓

1. Чтобы изменить конфигурацию маршрутизатора, введите 192.168.1.1 в браузере и нажмите Enter.
   
2. Появится форма авторизации. Имя пользователя и пароль по умолчанию — admin. Если вы изменили их, пожалуйста, введите текущую.
   
3. После успешной авторизации вы попадете в консоль настроек. Список разделов находится слева. Зайдите в Родительский контроль .
   
4. Активируйте функцию Родительский контроль: установите переключатель Включить в строке Родительский контроль.

   

5. Выберите устройство или родительский компьютер. Из него вы будете контролировать доступ к веб-сайтам и не будете подвергаться ограничениям, наложенным на других. Чтобы установить хост, с которого вы сделали настройки, нажмите Копировать наверх. Чтобы назначить другой, введите его MAC-адрес в MAC-адрес родительского компьютера. Сохраните настройки, нажав Сохранить

Безопасный режим

Настройки видеохостинга позволяют включить специальный режим, в котором происходит более точный отбор роликов. Фильтр отфильтрует все материалы, которые имеют возрастные ограничения или были отмечены пользователями как неприемлемые.

На компьютере

Чтобы использовать эту функцию, перейдите на сайт youtube.com и войдите в свою учетную запись Google, если вы еще этого не сделали.

В левой части меню найдите «Настройки» и нажмите на нее.

Если вы не видите список параметров, щелкните значок с тремя полосами в верхней части экрана.

В разделе настроек спускаемся в самый низ, нажимаем кнопку «Безопасный режим» и ставим галочку напротив «Включить”.

Чтобы ваш ребенок не мог изменить настройки, войдя в свою учетную запись Google, запретите другим пользователям отключать безопасный режим и сохранять изменения.

Примечание. Безопасный режим работает только в браузере с этими настройками. Если ваш ребенок заходит на YouTube через другой веб-браузер, он все равно сможет смотреть все видео.

В телефоне

Откройте приложение YouTube на своем мобильном устройстве и щелкните изображение своего профиля в правом углу экрана.

Затем перейдите в «Настройки», «Основные» и передвиньте рычажок напротив надписи «Безопасный режим”.

Примечание. Эту опцию также можно включить на телевизоре с функцией «Smart TV». Делается это так же, как и на компьютере.

Как заблокировать отдельный канал или видеоролик

Если вы обнаружили видео или целый канал с нежелательным контентом, вы можете подать жалобу администрации сайта.

Как отправить жалобу

Нажмите на 3 точки под игроком и выберите нужное действие.

На телефоне меню скрыто под 3 точками вверху экрана.

Это не гарантирует, что видео сразу исчезнет и вы его больше не увидите, но администрация обратит на это внимание. При наличии контента, нарушающего правила сообщества или способного нанести вред психике детей, он будет удален из общего доступа.

Как заблокировать нежелательный канал

Блокировать десятки видео неудобно, но есть более простое решение. Вы можете скрыть весь контент из определенного видеопотока. Для этого зайдите на его страницу и нажмите вкладку «О канале», затем галочку. Выберите необходимое действие из выпадающего списка.

Чтобы сделать то же самое на мобильном устройстве, зайдите в ленту пользователей, нажмите на 3 точки в правом углу и выберите соответствующий пункт.

Примечание. Отчеты и скрытие видеоканалов должны осуществляться из той же учетной записи, которую ребенок использует для просмотра видео на YouTube. Это может быть ваша учетная запись или ее учетная запись. Эти настройки будут работать только в нем.

Плагин для Google Chrome

Если вы используете этот браузер, вы можете установить специальное расширение, которое поможет вам быстро заблокировать видео и каналы YouTube. Для этого перейдите в соответствующий раздел программы.

Тогда открывай магазин.

Введите плагин «Блокировщик видео» в строку поиска и установите его.

Если все прошло удачно, в верхней части экрана появится логотип в виде запрещающего знака.

Теперь во время просмотра видео вы можете щелкнуть правой кнопкой мыши название канала и заблокировать весь его контент.

Читайте также: Как настроить Bandicam для записи игр

5. Настройте домашнюю сеть Wi-Fi

Чтобы обезопасить свою сеть Wi-Fi, важно выбрать правильные настройки безопасности.

В меню настроек найдите раздел, отвечающий за беспроводную сеть (см документацию к вашей модели роутера). Здесь убедитесь, что вы установили надежный пароль (он понадобится для подключения устройств к роутеру по Wi-Fi) и выберите в качестве меры безопасности WPA2-PSK.

Не забудьте сохранить изменения в настройках.

6. Смените пароль для входа в настройки роутера

На всякий случай лучше ограничить доступ посторонних в меню настроек роутера. Если роутер по-прежнему защищен паролем по умолчанию, замените его своим.

Найдите раздел настроек, который отвечает за безопасность (см документацию модели роутера) устройства и введите здесь новый надежный пароль. Сохранить изменения.

Если в компьютере есть модуль Wi-Fi, после завершения настройки сетевой кабель можно вытащить из компьютера и подключить к роутеру по беспроводному соединению.

Сервера Yandex DNS без установки модуля

Однако включить фильтрацию контента из Яндекс DNS можно и без установки специального модуля на роутер Zyxel Keenetic. Разница между обоими способами будет заключаться в том, что в первом у нас есть возможность уточнить ограничения для отдельного компьютера или смартфона, а во втором — для всей сети. Так что лучше и дальше пользоваться встроенной функцией, но если не получится, зайдите в настройки «Интернет» и нажмите на подключение «Широкополосное подключение»

Затем сохраните изменения с помощью кнопки «Применить»

В новом интернет-центре также есть возможность вручную прописывать DNS-серверы — эта настройка находится в том же разделе «Интернет-фильтры». Прокрутите страницу вниз и нажмите кнопку «Добавить сервер», после чего укажите его данные в соответствующих полях.

Результатом работы DNS-фильтра Яндекса будет следующее сообщение при входе на опасный сайт с включенным «семейным режимом

А вот так выглядит блокировщик рекламы — вместо пустого серого окна на странице должен отображаться баннер

Блокировка YouTube через роутер MikroTik.

Возникла необходимость заблокировать Youtube в сети, где шлюзом является роутер MikroTik BR750Gr3. Следуя этой инструкции, роутер изначально настраивается.

* если вы хотите заблокировать социальные сети или другие ресурсы, вам необходимо создать правила с разными идентификаторами (доменными именами)

Создадим два правила для маркировки соединений и пакетов.

Перейдите на вкладку Мангл. Нажмите на синий плюсик.

В открывшемся окне на вкладке Общие введите значения, как на скриншоте ниже:

Src.Address: 192.168.xx (адрес компьютера, с которого вы хотите заблокировать доступ к YouTube, src — исходящий адрес, dst — адрес назначения).

Знак подключения: нет знака

Нажмите кнопку «Применить».

Перейдите на вкладку «Дополнительно.

Протокол уровня 7: YouTube

Перейдите на вкладку «Действие», сделайте настройки.

Действие: выделить соединение

Новый знак подключения: youtube_conn

Passthrough — активировать галочкой.

Нажмите «Применить» или «ОК.

С помощью этого правила мы будем помечать все соединения YouTube с помощью youtube_conn.

Создайте еще одно правило на вкладке Mangle, щелкнув синий значок плюса.

В открывшемся окне на вкладке Общие введите значения, как на скриншоте ниже:

Src.Address: 192.168.xx (адрес компьютера, которому вы хотите заблокировать доступ к YouTube).

Признак подключения: youtube_conn.

Нажмите кнопку «Применить».

Перейдите на вкладку «Действие», сделайте настройки.

Действие: выберите пакет

Новая метка подключения: youtube_packet

Passthrough — активировать галочкой.

Нажмите «Применить» или «ОК.

Мы пометим все пакеты YouTube этим правилом.

Есть два правила.

Перейдите на вкладку Правила фильтрации. Создайте правило, нажав плюс.

Делаем настройки. На вкладке Общие:

Обозначение пакета: youtube_packet.

Перейдите на вкладку «Действие.

Вы можете добавить комментарий к правилу.

Нажмите «Применить» или «ОК». Правило готово.

Создадим еще одно правило в этом же разделе (Правила фильтрации).

На вкладке Общие обратите внимание:

Обозначение пакета: youtube_packet

Перейдите на вкладку «Действие.

Нажмите Применить, чтобы сохранить правило.

В результате два принципа.

После этих действий YouTube перестал работать на компьютере.

Блокировка ресурсов для нескольких пользователей.

Если вы хотите заблокировать YouTube от большого количества пользователей, создайте группу пользователей и примените к ней правила.

Идём по пути: IP>>Брандмауэр>>Списки адресов

Нажмите на синий плюсик.

В открывшемся окне Новый список адресов брандмауэра введите имя группы и диапазон требуемых IP-адресов. Нажмите ОК.

Если DHCP работает, правило будет применяться только к этому диапазону IP-адресов, нужно учитывать этот нюанс. Либо привяжите MAC-адрес пользователя к определенному IP и на него всегда будет раздаваться один и тот же IP-адрес, либо назначьте статические IP-адреса всем пользователям сети. Или другие варианты.

Переходим на вкладку Mangle, выбираем по очереди два наших ранее созданных правила маркировки соединений и пакетов. В разделе General убираем IP-адрес из строки Src.Address, а во вкладке Advanced добавляем созданную группу в строку Src.Address List. ХОРОШО.

После выполнения этих действий YouTube будет заблокирован для группы пользователей с указанным диапазоном IP-адресов.

Иногда может потребоваться некоторое время, чтобы правило вступило в силу.

Если в списке брандмауэра есть другие правила блокировки, то лучше разместить их над ними (или, в зависимости от обстоятельств, что блокируется и как).

Разрешить определенным пользователям доступ к YouTube и запретить всем остальным.

Если вы хотите заблокировать YouTube для всех пользователей и оставить только некоторых, создайте группу GR3, в которую мы добавим IP-адреса пользователей, которым необходим доступ к YouTube.

Если вам нужны конкретные IP-адреса, помимо перечисленного диапазона, создайте еще один объект в разделе Address Lists, назовите его точно так же и добавьте к нему нужный IP-адрес.

С помощью консольной команды это можно сделать следующим образом:

/ список адресов брандмауэра ip добавить список = адрес GR3 = 192.168.0.60

Таким образом мы добавляем все необходимые адреса.

Создаем группу GR5, в которую добавляем все сетевые IP-адреса.

В двух правилах на вкладке Mangle в разделе Advanced укажите созданную группу со всеми IP-адресами. ХОРОШО.

В двух правилах на вкладке Брандмауэр в разделе Общие укажите диапазон всех сетевых IP-адресов в поле Src.Address.

Перейдите на вкладку Дополнительно и выберите группу пользователей, у которых есть доступ в поле Src.Address. Важный момент — выберите значок «!» в поле слева от выбранной группы. Это означает изменение действия, то есть разрешение вместо запрета. Нажмите ОК.

Смысл всех этих действий следующий: Youtube соединения и пакеты будут помечены для всех пользователей сети. Фильтр брандмауэра будет отклонять помеченные соединения и пакеты для всех пользователей, кроме пользователей GR3, для которых действует противоположное, то есть разрешающее действие.

Вероятно, есть и другие варианты решения проблемы блокировки ресурсов MikroTik. Представленная схема протестирована и работает в сети нашей организации. Обладая вышеизложенными знаниями по тегированию и работе с группами, вы можете создавать и комбинировать правила, чтобы блокировать/разрешать доступ к разным веб-ресурсам для разных пользователей по-разному.

4. Настройте подключение к интернету

Если интернет все равно не работает, роутер требует особых настроек. Необходимые параметры зависят от конкретной модели устройства и интернет-провайдера. Универсальной конфигурации нет. Для получения необходимых инструкций посетите веб-сайт поставщика или запросите их в службе поддержки.

Получив руководство по установке для вашей модели, следуйте его инструкциям. Если в процессе вы настраиваете и подключение к интернету, и домашнюю сеть Wi-Fi, то можете пропустить пятый абзац статьи.

AdGuard DNS для роутеров Zyxel Keenetic

AdGuard DNS — это еще один сервис фильтрации веб-трафика, который, хотя и является бесплатным, предоставляет функции, подобные Яндексу, от одного из ведущих антивирусных поставщиков. AdGuard имеет собственную постоянно обновляемую базу данных доменных имен, используемых в рекламных или мошеннических целях.

Поддержка данного сервиса встроена в последние версии прошивок интернет-центров Keenetic.

Здесь есть две настройки:

• Без рекламы — базовый режим, в котором DNS-серверы используются для блокировки рекламы, отслеживания и фишинга.
• Семейный — расширенный, в котором помимо фейковых ресурсов блокируются сайты для взрослых, а также используется безопасный поиск.

Вы можете включить фильтр AdGuard на этапе первоначального подключения интернет-центра. Для этого, пройдя все начальные шаги и подключившись к интернету, на странице выбора фильтра трафика выберите «AdGuard»

Для выбора нужного режима нужно зайти в «Интернет-фильтр» в полноценной панели администрирования и установить «Без рекламы» или «Семейный»

Также возможно применить отдельное правило для одного конкретного устройства, зарегистрированного в интернет-центре.

Если вы отправитесь в запретное место после активации фильтра, на вашем экране появится следующее изображение

3. Войдите в меню настроек роутера

Введите 192.168.1.1 или 192.168.0.1 в адресную строку браузера и нажмите Enter. Один из этих IP-адресов должен вести в меню настроек роутера. Если оба варианта не работают, найдите правильный IP-адрес в документации к вашей модели роутера и попробуйте ввести его.

При появлении страницы входа в настройки в окне браузера система может запросить имя пользователя и пароль. Чаще всего при первоначальном подключении обоим полям соответствует одно слово — admin. Реже производители маршрутизаторов используют комбинацию 1234 в качестве стандартного пароля.

При необходимости данные для входа можно найти в инструкции к роутеру или на сайте провайдера. Или попробуйте альтернативный способ.

Полная блокировка сайта

Сейчас я расскажу, как полностью ограничить просмотр отдельных интернет-ресурсов на компьютере или ноутбуке.

Редактируем файл hosts в Windows

Для этого следуйте инструкциям.

Шаг 1. Заходим на диск С и идем по пути к нужной папке: Windows — System32 — Drivers — и т.д.

Шаг 2. Откройте файл hosts в обычном блокноте или другом текстовом редакторе.

Шаг 3. В конце документа добавьте 2 строки: «127.0.0.1 www.youtube.com» и «127.0.0.1 www.m.youtube.com”.

Шаг 4. Сохраните изменения в документе.

Теперь попробуйте открыть YouTube. В Яндекс.Браузере вижу уведомление о том, что сайт не удалось подключить.

В другом веб-браузере вы найдете текст с более или менее таким же содержанием.

Если вы хотите восстановить доступ к видеохостингу, просто удалите эти 2 строчки из файла hosts и сохраните его снова.

Используем антивирус

Если у вас на ПК, ноутбуке или телефоне стоит надежный лицензионный антивирус, вы всегда сможете найти в нем нужную вам опцию.

Я использую ESET Internet Security и рекомендую его вам. В дополнительных параметрах есть раздел «Управление URL-адресами», где вы можете указать сайты, которые хотите заблокировать или, наоборот, разрешить доступ.

Затем, когда мы пытаемся открыть YouTube, мы видим соответствующее сообщение.

В популярном антивирусе Kaspersky Internet Security также есть возможность блокировать сайты в разделе «Родительский контроль”.

В данной статье рассмотрим ситуацию, когда на маршрутизаторе Mikrotik внешние DNS запросы сильно грузят процессор. Для решения создадим правила для блокировки входящих запросов  на 53 порт по протоколу UDP

Содержание

• Введение
• Описание тестового стенда
• Проверяем что именно грузит процессор
• Создаём правило для закрытия внешних запросов на DNS (Закрываем 53 порт) на Mikrotik  
• Проверяем работу правила блокировки внешних dns запросов (port 53, UDP)

Введение

Часто встречается ситуация, когда нагрузка на процессор резко увеличивается хотя особо «никто ничего не делает». 

Один из вариантов — это когда микротик (Mikrotik) используется как DNS сервер (Allow Remote Requests) и у него разрешены DNS запросы извне. 

Нагрузка получается из-за того, что на наш маршрутизатор поступает большое кол-во запросов на разрешения dns-имён (resolve dns). 

Для решения этой проблемы нужно просто запретить внешние запросы на разрешения dns-имён.

Это мы будем делать через создание правила в  Firewall 

Описание тестового стенда

• Роутер Mikrotik
• DNS сервер настроен на Allow Remote Requests

Проверяем что именно грузит процессор на Mikrotik

Через утилиту Winbox заходим в Tools — Profile

Видим, что у нас загрузка по DNS. 

Далее проверяем, что у нас включен Allow Remote Requests

Когда убедились, что проблема в открытом dns, переходим к созданию правил в Firewall

Создаём правило для закрытия порта внешних запросов DNS (Закрываем 53 порт) на Mikrotik  

DNS сервер отвечает на 53 порту по протоколу UDP.

Поэтому нужно создать правило Drop (сброс) для входящих пакетов (цепочка Chain = input) на 53 порт по протоколу UDP.

В нашем примере мы создаём входящее правило для списка (In. Interface List) входящих интерфейсов WAN.  

Если у вас нет списка, то можно создать правило для конкретного входящего интерфейса (In. Interface)

Это можно сделать через через утилиту Winbox. Подробнее про утилиту в нашей статье Подключение к MikroTik через WinBox.

Создать правило можно или через графический интерфейс, или командой

Команда

 ip firewall filter add chain=input protocol=udp dst-port=53 in-interface-list=WAN action=drop

Через графический интерфейс Winbox

Переходим на вкладку:  IP — Firewall

Проверяем работу правила блокировки внешних dns запросов (port 53, UDP)

Заходим снова в Tools — Profile и видим, что нагрузка по DNS пропала.

Интернет несет в себе множество соблазнов, поэтому желание родителей как-то обезопасить детей от «тлетворного влияния» всемирной паутины вполне понятно. В то же время, полностью запрещать Интернет — не лучший выход: в сети много полезной и важной информации. К счастью, отделить «полезный» Интернет от «вредного» вполне возможно и для этого достаточно правильно настроить роутер, раздающий дома Wi-Fi.

Что лучше — роутер или специальные программы?

Для родительского контроля создано большое количество приложений, которые устанавливаются на компьютер или смартфон и не дают посещать с него сайты с сомнительным содержанием.

Некоторые брандмауэры и антивирусы тоже имеют функцию родительского контроля. За счет более глубокого вмешательства в системные процессы, они способны контролировать и ограничивать установку небезопасных программ, устанавливать лимиты времени работы и доступа к Интернет, блокировать доступ к приложениям, сайтам, социальным сетям, вести учет деятельности в сети и даже определять «нежелательные» слова в переписке, которую ведет ребенок.

Однако минусы у программ родительского контроля тоже есть. Во-первых, большинство из них платные. Во-вторых, смышленые дети исхитряются обойти блокировку. В-третьих, приложение защищает только то устройство, на которое установлено (а иногда защита и вовсе работает только в одном браузере). Стоит ребенку войти в сеть с другого телефона или компьютера — и никаких ограничений не будет.

Другое дело — родительский контроль на роутере. Он будет распространяться на все подсоединенные к нему устройства. И избавиться от этого контроля не так просто.

Что нужно знать для настройки роутера

Нужно понимать, что такое MAC-адрес и IP-адрес.

МАС-адрес — это уникальный физический адрес устройства, подключающегося к сети. Состоит из восьми пар цифр и букв (от a до f), разделенных двоеточием. Выглядит примерно как 4f:34:3a:27:e0:16.

IP-адрес — это сетевой адрес устройства в локальной сети или сети Интернет, он состоит из четырех чисел (от 0 до 255), разделенных точкой (например, 124.23.0.254).

Любое устройство, даже обесточенное, имеет МАС-адрес. IP-адрес устройство получает, когда подключается к сети. Очень часто роутеры выдают IP-адреса динамически, из незанятых. Утром устройство может получить один IP-адрес, а вечером — уже другой. А на другом роутере — вообще третий.

Можно использовать следующую аналогию: МАС-адрес — это ФИО человека, а IP-адрес — его прозвище в коллективе. «Иванов Иван Иванович», «Ванёк», «сынок» и «Иваныч» могут обозначать одного и того же человека, но «Иванов Иван Иванович» он всегда, а «сынок» — только для родителей.

МАС-адрес используется для физической идентификации клиента и именно по этому адресу настраивается фильтрация в маршрутизаторе. Разобраться, кого как зовут поможет вкладка «Клиенты» веб-интерфейса роутера — там обычно есть полный список подключенных устройств, МАС-адреса, сетевые имена и IP-адреса.

IP-адрес меняется, а MAC-адрес — нет. В принципе, его можно сменить, но на некоторых устройствах (смартфонах, некоторых сетевых картах, сетевых устройствах) это сделать довольно непросто.

Настройка роутера с помощью специальных вкладок родительского контроля

Родительский контроль — проблема весьма актуальная и производители роутеров массово оснащают прошивки своих устройств средствами для блокирования нежелательного контента. У роутеров D-link и ТР-Link блокировка настраивается через вкладку «Яндекс.DNS», а у TP-Link и Sagemcom вкладка называется «Родительский контроль».

Подобные вкладки есть и у других производителей, с особыми названиями и тонкостями — универсальной инструкции по настройке не существует.

Вкладка «Яндекс.DNS» роутеров D-link и TP-link использует бесплатную одноименную службу, о которой будет подробнее написано ниже. Вообще Яндекс.DNS можно использовать на любом роутере, но роутер D-link с новой прошивкой позволяет задать ограничения конкретным устройствам в сети.

С помощью этой вкладки можно оставить «полный» доступ только с определенных устройств, а все новые, входящие в сеть, будут входить в ограниченном режиме — например, в «детском». Для этого следует закрепить за «родительскими» устройствами определенные IP-адреса на странице LAN.

Затем на вкладке «Яндекс.DNS-Устройства и правила» выставить им правило «Без защиты».

На вкладке «Яндекс.DNS-Настройки» следует задать режим по умолчанию «Детский».

Готово. Теперь роутер позволяет смотреть всё подряд только разрешенным устройствам, а все остальные — под контролем.

У роутеров TP-link есть несколько версий прошивки с родительским контролем. В старых прошивках в этой вкладке можно создать черный или белый список сайтов и, в зависимости от выбранного режима работы, запретить доступ к сайтам в списке или, наоборот, разрешить доступ только к указанным в списке.

Фактически это просто URL-фильтр, который есть в любом роутере. Единственная разница — здесь можно задать МАС-адрес контролирующего компьютера, к которому правила родительского контроля применяться не будут.

На прошивках поновее можно также задать расписание включения контроля и задать список устройств, на которые будет распространяться контроль.

А вот новейшая прошивка TP-Link предоставляет побольше возможностей. Здесь уже можно к различным устройствам применить разные уровни фильтрации контента.

Настройки позволяют широко варьировать уровень фильтрации как по возрасту посетителей «всемирной сети» (Дошкольники, Школьники, Подростки, Совершеннолетние), так и по категориям контента (Материалы для взрослых, Азартные игры, Социальные сети и т. д.).

Функционал прошивки может поспорить и с некоторыми платными программами и сервисами. Здесь же можно настроить и расписание действия родительского контроля.

Вкладка «Родительский контроль» на роутерах Sagemcom скрывает обычный URL-фильтр без возможности определения клиентов, для которых он будет действовать и расписание доступности Интернета.

Расписание, в отличие от URL-фильтра, можно привязать к отдельным клиентам.

Настройка роутера без вкладок родительского контроля

Если вкладки «Родительский контроль» нет в веб-интерфейсе вашего устройства, нужно попробовать обновить прошивку. Если же и после обновления ничего похожего не появилось, придется обойтись штатными возможностями, которые есть во всех моделях маршрутизаторов — фильтрацией по URL и сменой адреса DNS-сервера.

Настройка URL-фильтра

URL-фильтр позволяет ограничить доступ к определенным сайтам по их именам.

В большинстве устройств URL-фильтр может работать одном из двух режимов: черного или белого списка. В режиме черного списка будут доступны все сайты, кроме перечисленных.

В режиме белого списка будут доступны только перечисленные сайты.

Поскольку перечислить все «неблагонадежные» сайты абсолютно нереально, чаще всего роутер настраивается по «жесткому» второму варианту. В качестве основы можно использовать какой-нибудь рекомендованный белый список и добавлять в него сайты по необходимости.

URL-фильтр удобен, если его действие можно применять или не применять к определенным устройствам в сети. Редкие роутеры позволяют гибко настраивать каждый разрешенный адрес на каждое устройство. Обычно маршрутизаторы позволяют задать как минимум список клиентов, на которых URL-фильтр не действует. Если и такой возможности устройство не предоставляет, вам придется менять настройки роутера каждый раз, как потребуется посетить сайт не из «белого списка». Это совсем неудобно и  лучше воспользоваться другими функциями ограничения доступа.

DNS-сервер (сервер имен) конвертирует привычное нам имя сайта (например, yandex.ru) в IP-адрес сервера яндекса. Только получив этот IP-адрес, браузер сможет открыть запрошенный сайт. Защита от нежелательного контента с помощью DNS предполагает, что вместо простого DNS-сервера вы используете DNS-сервер специальный, который не просто конвертирует имя сайта в его IP-адрес, но и проверяет его «благонадежность». И если запрашиваемый сайт включен в «черный список» службы, вместо искомого сайта на экране браузера появится «заглушка». Просто и достаточно эффективно.

Удобнее всего пользоваться такими сервисами, если настройки роутера позволяют задавать разный DNS-сервер для разных клиентов (или групп клиентов, или хотя бы сетей). Иначе вам, опять же, придется менять настройки роутера всякий раз, как вы увидите «заглушку» вместо нужного сайта.

В некоторых вариантах соединения с провайдером DNS-сервер задать невозможно — он предоставляется провайдером автоматически и в настройках соединения его просто нет. В этом случае можно попробовать задать его с помощью настроек DHCP-сервера роутера — DNS-сервер службы следует вписать в строку Primary DNS.

Из наиболее распространенных сервисов родительского контроля на основе DNS можно отметить Яндекс.DNS, OpenDNS и SkyDNS.

Яндекс.DNS — российский сервис, предоставляющий два уровня защиты — «безопасный» (без мошеннических сайтов и вирусов) и «семейный» (то же, плюс блокируются еще сайты для взрослых).

Для установки «безопасного» режима следует указать в качестве адреса DNS-сервера один из двух серверов Яндекса: 77.88.8.88 или 77.88.8.2. Для «семейного» режима адреса другие — 77.88.8.7 или 77.88.8.3.

Плюсы сервиса — отличная скорость, высокая эффективность и полная бесплатность. Минусы — нельзя настроить или добавить категории блокируемых сайтов. Социальные сети, например, не блокируются. Если вы хотите запретить ребенку доступ к «Вконтакте», вам придется использовать URL-фильтр в дополнение к Яндекс.DNS.

OpenDNS (он же Cisco Umbrella) — служба DNS-серверов, принадлежащая американской компании Cisco.

Кроме общедоступных DNS-серверов, OpenDNS предоставляет сервера с защитой от нежелательного содержимого. Например, Family Shield c защитой от сайтов для взрослых имеет адреса DNS серверов 208.67.222.123 или 208.67.220.123. А вот бесплатный вариант Home с возможностью настройки блокируемого контента в России недоступен — можно использовать только платный вариант Home VIP.

В плюсах у OpenDNS — платные варианты с возможностью конфигурирования. В минусах — нет безопасного варианта без фильтрации «взрослого» контента, да и фильтр нацелен, в основном, на обслуживание англоязычного сегмента Интернета, так что некоторые русскоязычные сайты для взрослых могут пройти сквозь фильтр.

SkyDNS — платный сервис фильтрации нежелательного контента. Приобретя аккаунт, вы получите богатые возможности по конфигурированию фильтра. Можно выбрать, сайты какой категории блокировать (тут и безопасность, и сайты для взрослых, и социальные сети, и игры, и многое другое), задать различные профили с разными настройками блокировок, установить расписание действия того или иного профиля, и многое другое.

Существует расширение для роутеров Zyxel, которое упрощает настройку сервиса и позволяет применять к разным устройствам в сети разные профили.

Это сильно расширяет возможности контроля и наблюдения — в личном кабинете сервиса можно получить полную статистику по сетевой активности из вашей сети.

Плюс сервиса — широчайшие возможности настройки. Минусы — кроме отсутствия бесплатных сервисов — ваш профиль должен быть привязан к статическому IP-адресу. Если провайдер выдает вам при подключении динамический IP-адрес (что происходит в 99,9% случаев) вам придется разбираться с конфигурированием DDNS на вашем роутере, подключать одну из служб DDNS и привязывать к ней ваш профиль. Или же подключать услугу статического IP у провайдера. Впрочем, на сайте SkyDNS есть описание настроек DDNS для большинства распространенных роутеров.

Как не позволить обойти родительский контроль

У многих людей любая попытка контроля вызывает желание его обойти, даже если в этом нет никакой реальной надобности, и ваши дети — не исключение. Самый строгая фильтрация Интернета будет абсолютно бесполезна, если вы оставите «лазейки» для её обхода.

Во-первых, смените имя и пароль доступа к веб-интерфейсу на что-нибудь посложнее стандартного admin/admin.

Во-вторых, имея физический доступ к роутеру, пароль на нем можно сбросить (правда, это ведет и к сбросу всех остальных настроек).

В-третьих, заблокируйте различные способы обхода блокировки. Tor Browser, например, без малейших проблем обходит любые сервисы на основе DNS. Единственный способ пресечь этот обход — жесткая фильтрация по белому списку.

Если вы фильтруете контент не для всей сети, а только для определенных устройств, то смена МАС-адреса моментально выведет гаджет вашего ребенка «из-под колпака».Наиболее сложен для обхода URL-фильтр в режиме «белого списка» для всей сети (без привязки к МАС-адресам), но подумайте — нужна ли такая жесткая блокировка? Ведь есть мобильные сети, общедоступные Wi-Fi сети и т. п. Если совсем «перекрыть кислород» ребенку, он может начать искать совершенно неподконтрольные вам способы получения информации — нужно ли вам это? В родительском контроле (и не только в нем) наилучший эффект дает именно «золотая середина».

Как Заблокировать Альтернативные ДНС Сервера

---

---

---

---

---

---

---

---

---