DoH-ээр чиглүүлэгчдээ хүрэхгүйгээр DNS-ээ хэрхэн шифрлэх вэ: Бүрэн гарын авлага

¿HTTPS-ээр DNS ашиглан чиглүүлэгчдээ хүрэхгүйгээр DNS-ээ хэрхэн шифрлэх вэ? Хэрэв та хэн таныг ямар вэб сайтад холбогдож чадах талаар санаа зовж байгаа бол, Домэйн нэрийн системийн асуулгыг HTTPS-ээр DNS ашиглан шифрлэх Энэ нь чиглүүлэгчтэйгээ тулалдахгүйгээр хувийн нууцаа нэмэгдүүлэх хамгийн хялбар аргуудын нэг юм. DoH-ийн тусламжтайгаар домэйныг IP хаяг руу хөрвүүлдэг орчуулагч тодорхой газар аялахаа больж, HTTPS хонгилоор дамждаг.

Энэхүү гарын авлагаас та шууд хэлээр, хэт их хэллэггүйгээр, DoH гэж яг юу вэ, DoT гэх мэт бусад сонголтуудаас юугаараа ялгаатай вэ, үүнийг хөтөч болон үйлдлийн системд (Windows Server 2022 гэх мэт) хэрхэн идэвхжүүлэх, ажиллаж байгаа эсэхийг хэрхэн шалгах, дэмжигдсэн серверүүд, хэрэв та зоригтой байгаа бол өөрийн DoH шийдэгчийг хэрхэн тохируулах талаар. Бүх зүйл, чиглүүлэгчид хүрэлгүйгээр…MikroTik дээр тохируулахыг хүссэн хүмүүст зориулсан нэмэлт хэсгээс бусад.

HTTPS (DoH) дээр DNS гэж юу вэ, танд яагаад санаа зовдог вэ?

Таныг домэйн (жишээ нь Xataka.com) оруулах үед компьютер DNS шийдүүлэгчээс IP гэж юу болохыг асууна; Энэ үйл явц нь ихэвчлэн энгийн текст хэлбэрээр байдаг Таны сүлжээ, интернет үйлчилгээ үзүүлэгч эсвэл завсрын төхөөрөмж дээрх хэн ч үүнийг хянах эсвэл удирдах боломжтой. Энэ бол сонгодог DNS-ийн мөн чанар юм: хурдан, хаа сайгүй…, гуравдагч этгээдэд ил тод байдаг.

Эндээс DoH орж ирдэг: Энэ нь эдгээр DNS асуулт, хариултыг аюулгүй вэбийн ашигладаг ижил шифрлэгдсэн суваг руу шилжүүлдэг (HTTPS, порт 443)Үүний үр дүнд тэд тагнуул хийх, лавлагаа хулгайлах, дундын зарим этгээдийн дайралт зэргийг багасгаж, "ил задгай" аялахаа больсон. Цаашилбал, олон туршилтанд хоцролт нь мэдэгдэхүйц мууддаггүй тээвэрлэлтийн оновчлолын ачаар сайжруулах боломжтой.

Гол давуу тал нь энэ юм DoH-г програм эсвэл системийн түвшинд идэвхжүүлж болно, тиймээс та ямар нэг зүйлийг идэвхжүүлэхийн тулд оператор эсвэл чиглүүлэгчдээ найдах шаардлагагүй болно. Өөрөөр хэлбэл, та сүлжээний төхөөрөмжид хүрэлгүйгээр "хөтөчөөс" өөрийгөө хамгаалах боломжтой.

DoH-ийг DoT-ээс (DNS over TLS) ялгах нь чухал: DoT нь 853 порт дээрх DNS-ийг шифрлэдэг TLS дээр шууд, харин DoH үүнийг HTTP(S)-д нэгтгэдэг. DoT онолын хувьд илүү хялбар боловч Энэ нь галт ханаар хаагдах магадлал өндөр байдаг энэ нь ердийн бус портуудыг таслах; DoH нь 443-ыг ашигласнаар эдгээр хязгаарлалтыг илүү сайн тойрч, шифрлэгдээгүй DNS руу албадан "буцах" халдлагаас сэргийлдэг.

Нууцлалын тухай: HTTPS ашиглах нь ЭМГ-т күүки эсвэл хянах гэсэн үг биш юм; стандартууд үүнийг ашиглахгүй байхыг шууд зөвлөдөг Энэ хүрээнд TLS 1.3 нь харилцан хамаарлыг багасгаж, сешнүүдийг дахин эхлүүлэх хэрэгцээг багасгадаг. Хэрэв та гүйцэтгэлийн талаар санаа зовж байгаа бол QUIC дээрх HTTP/3 нь асуултуудыг блоклохгүйгээр олон талт болгох замаар нэмэлт сайжруулалт хийх боломжтой.

DNS хэрхэн ажилладаг, нийтлэг эрсдэл, DoH хаана багтдаг

Үйлдлийн систем нь ихэвчлэн DHCP-ээр дамжуулан аль шийдүүлэгчийг ашиглахыг сурдаг; Та гэртээ ихэвчлэн ISP ашигладаг, оффис, корпорацийн сүлжээ. Энэ харилцаа холбоо шифрлэгдээгүй үед (UDP/TCP 53) таны Wi-Fi эсвэл зам дээрх хэн ч асуусан домэйнүүдийг харж, хуурамч хариулт оруулах эсвэл зарим операторын адил домэйн байхгүй үед таныг хайлт руу чиглүүлэх боломжтой.

Ердийн замын хөдөлгөөний шинжилгээ нь портууд, эх сурвалж/очих газрын IP, мөн домэйн өөрөө шийдэгдсэн болохыг харуулдаг; Энэ нь зөвхөн хайлтын зуршлыг илчлээд зогсохгүй, энэ нь дараагийн холболтуудыг, тухайлбал, Твиттер хаягууд эсвэл үүнтэй төстэй зүйлстэй холбож, яг аль хуудсуудаар зочилсноо тодорхойлоход хялбар болгодог.

DoT-ийн тусламжтайгаар DNS мессеж 853 порт дээрх TLS дотор ордог; ЭМГ-тай, DNS асуулга нь стандарт HTTPS хүсэлтэд багтсан болно, энэ нь мөн хөтчийн API-уудаар дамжуулан вэб програмуудад ашиглах боломжийг олгодог. Хоёр механизм хоёулаа ижил суурийг хуваалцдаг: гэрчилгээтэй серверийн баталгаажуулалт, төгсгөлөөс төгсгөл хүртэл шифрлэгдсэн суваг.

Шинэ портуудын асуудал нь нийтлэг байдаг Зарим сүлжээнүүд 853-г блоклодог, программ хангамжийг шифрлэгдээгүй DNS руу "буцаж" урамшуулах. ЭМГ нь вэбэд түгээмэл байдаг 443-ыг ашиглан үүнийг багасгадаг. DNS/QUIC нь бас нэг ирээдүйтэй сонголт бөгөөд нээлттэй UDP шаарддаг бөгөөд үргэлж бэлэн байдаггүй.

Тээврийг шифрлэхдээ ч гэсэн нэг нюансаас болгоомжил. Шифрлэгч худлаа байвал шифр үүнийг засдаггүй.Энэ зорилгоор DNSSEC байдаг бөгөөд энэ нь хариултын бүрэн бүтэн байдлыг баталгаажуулах боломжийг олгодог боловч үүнийг нэвтрүүлэх нь өргөн тархаагүй бөгөөд зарим зуучлагчдын үйл ажиллагааг зөрчиж байна. Гэсэн хэдий ч ЭМГ нь зам дээрх гуравдагч этгээдийг таны асуулгад хяналт тавих, хөндлөнгөөс оролцохоос сэргийлдэг.

Үүнийг чиглүүлэгчид хүрэлгүйгээр идэвхжүүлнэ үү: хөтчүүд болон системүүд

Эхлэх хамгийн хялбар арга бол хөтөч эсвэл үйлдлийн систем дээрээ DoH-г идэвхжүүлэх явдал юм. Та багийнхаа асуулгыг ингэж хамгаалдаг чиглүүлэгчийн програм хангамжаас хамааралгүйгээр.

Google Chrome

Одоогийн хувилбаруудад та очиж болно chrome://settings/security мөн "Аюулгүй DNS ашиглах" хэсэгт сонголтыг идэвхжүүлж, үйлчилгээ үзүүлэгчийг сонгоно уу (Хэрэв тэд DoH-г дэмждэг бол таны одоогийн үйлчилгээ үзүүлэгч эсвэл Cloudflare эсвэл Google DNS гэх мэт Google-ийн жагсаалтаас нэгийг нь дэмждэг бол).

Өмнөх хувилбаруудад Chrome нь туршилтын шилжүүлэгчийг санал болгосон: төрөл chrome://flags/#dns-over-https, "Аюулгүй DNS хайлт"-ыг хайж олоорой Үүнийг Өгөгдмөлөөс Идэвхтэй болгож өөрчлөх. Өөрчлөлтүүдийг хэрэгжүүлэхийн тулд хөтчөө дахин эхлүүлнэ үү.

Microsoft Edge (Chromium)

Chromium-д суурилсан Edge нь ижил төстэй сонголтыг агуулдаг. Хэрэв танд хэрэгтэй бол очно уу edge://flags/#dns-over-https, "Аюулгүй DNS хайлт"-ыг олоод Үүнийг Enabled хэсэгт идэвхжүүлнэ үүОрчин үеийн хувилбаруудад идэвхжүүлэх нь таны нууцлалын тохиргоонд бас боломжтой.

Mozilla Firefox

Цэсийг нээ (баруун дээд) > Тохиргоо > Ерөнхий > "Сүлжээний тохиргоо" руу доош гүйлгээд, дээр товшино уу. Тохиргоо мөн тэмдэглээрэй "HTTPS дээр DNS-г идэвхжүүлнэ үү”. Та Cloudflare эсвэл NextDNS зэрэг үйлчилгээ үзүүлэгчээс сонгож болно.

Хэрэв та нарийн хяналтыг илүүд үздэг бол in about:config тохируулах network.trr.mode: 2 (оппортунист) нь DoH-г ашигладаг бөгөөд нөөцийг бий болгодог байхгүй бол; ЭМГ-ын 3 (хатуу) мандат дэмжлэг байхгүй бол бүтэлгүйтдэг. Хатуу горимоор ачаалагчийн шийдлийг дараах байдлаар тодорхойлно network.trr.bootstrapAddress=1.1.1.1.

Дуурь

65 хувилбараас хойш Opera нь дараах сонголтыг агуулдаг ЭМГ-ыг 1.1.1.1-ээр идэвхжүүлнэ. Энэ нь анхдагчаар идэвхгүй болсон бөгөөд оппортунист горимд ажилладаг: хэрэв 1.1.1.1:443 хариу өгвөл DoH ашиглах болно; эс бөгөөс шифрлэгдээгүй шийдүүлэгч рүү буцна.

Windows 10/11: Автомат илрүүлэх (AutoDoH) болон Бүртгэл

Windows нь DoH-г тодорхой мэддэг шийдлэгчидтэй автоматаар идэвхжүүлж чаддаг. Хуучин хувилбаруудад, Та зан авирыг хүчээр гаргаж болно Бүртгэлээс: ажиллуулах regedit мөн очих HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

гэж нэрлэдэг DWORD (32 бит) үүсгэ EnableAutoDoh үнэ цэнэтэй 2 y Компьютерийг дахин асаана ууХэрэв та DoH-г дэмждэг DNS сервер ашиглаж байгаа бол энэ нь ажиллана.

Windows Server 2022: DoH-тэй DNS клиент

Windows Server 2022-д суурилуулсан DNS клиент нь DoH-г дэмждэг. Та зөвхөн "Мэдэгдэж байгаа ЭМГ"-ын жагсаалтад байгаа серверүүдтэй DoH-г ашиглах боломжтой. эсвэл та өөрөө нэмдэг. Үүнийг график интерфэйсээс тохируулахын тулд:

1. Windows тохиргоо >-г нээнэ үү Сүлжээ ба интернет.
2. Оруулах Ethernet болон интерфэйсээ сонгоно уу.
3. Сүлжээний дэлгэц дээр доош гүйлгэ Configuración de DNS мөн дарна уу Засварлах.
4. Сонгодог болон өөр серверүүдийг тодорхойлохын тулд "Гарын авлага"-г сонгоно уу.
5. Хэрэв эдгээр хаягууд нь мэдэгдэж байгаа ЭМГ-ын жагсаалтад байгаа бол үүнийг идэвхжүүлнэ "Давуулагдсан DNS шифрлэлт" гурван сонголттой:
   • Зөвхөн шифрлэлт (HTTPS дээр DNS): Force DoH; хэрэв сервер DoH-г дэмждэггүй бол шийдэл байхгүй болно.
   • Шифрлэлтийг илүүд үз, шифрлээгүй байхыг зөвшөөр: DoH-г оролдох ба амжилтгүй болбол шифрлэгдээгүй сонгодог DNS руу буцна.
   • Зөвхөн шифрлэгдээгүй: Уламжлалт энгийн DNS ашигладаг.
6. Өөрчлөлтүүдийг хэрэгжүүлэхийн тулд хадгална уу.

Та мөн PowerShell ашиглан мэдэгдэж байгаа ЭМГ-ын шийдлүүдийн жагсаалтыг асууж, өргөтгөх боломжтой. Одоогийн жагсаалтыг харахын тулд:

Get-DNSClientDohServerAddress

Шинэ мэдэгдэж байгаа ЭМГ серверийг өөрийн загварт бүртгүүлэхийн тулд дараахыг ашиглана уу:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

cmdlet гэдгийг анхаарна уу Set-DNSClientServerAddress өөрийгөө хянадаггүй ЭМГ-ын хэрэглээ; Шифрлэлт нь эдгээр хаягууд нь мэдэгдэж байгаа DoH серверүүдийн хүснэгтэд байгаа эсэхээс хамаарна. Та одоогоор Windows Admin Center эсвэл Windows Server 2022 DNS клиентийн DoH-г тохируулах боломжгүй sconfig.cmd.

Windows Server 2022 дахь бүлгийн бодлого

гэсэн заавар байдаг "HTTPS (DoH) дээр DNS тохируулах" en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Идэвхжүүлсэн үед та дараахийг сонгож болно:

• ЭМГ-ыг зөвшөөрөх: Хэрэв сервер үүнийг дэмждэг бол DoH ашиглах; Үгүй бол шифрлэгдээгүй асуулга.
• ЭМГ-ыг хориглох: хэзээ ч DoH ашигладаггүй.
• ЭМГ-ыг шаардана: хүчний ЭМГ; хэрэв дэмжлэг байхгүй бол шийдэл амжилтгүй болно.

Чухал: Домэйн холбогдсон компьютер дээр "DoH шаардах"-ыг бүү идэвхжүүлActive Directory нь DNS дээр тулгуурладаг бөгөөд Windows Server DNS серверийн үүрэг нь ЭМГ-ын хүсэлтийг дэмждэггүй. Хэрэв та AD орчинд DNS траффикийг хамгаалах шаардлагатай бол ашиглах талаар бодож үзээрэй IPsec дүрэм үйлчлүүлэгчид болон дотоод шийдвэрлэх хооронд.

Хэрэв та тодорхой домэйныг тодорхой шийдүүлэгч рүү дахин чиглүүлэх сонирхолтой байгаа бол та ашиглаж болно NRPT (Нэр шийдвэрлэх бодлогын хүснэгт). Хэрэв очих сервер нь мэдэгдэж байгаа ЭМГ-ын жагсаалтад байгаа бол, эдгээр зөвлөгөөнүүд ЭМГ-аар дамжин өнгөрөх болно.

Android, iOS болон Linux

Android 9 ба түүнээс дээш хувилбар дээр сонголт Хувийн DNS DoT (DoH биш) хоёр горимыг зөвшөөрдөг: "Автомат" (оппортунист, сүлжээний шийдлийг авдаг) болон "Хатуу" (та гэрчилгээгээр баталгаажсан хостын нэрийг зааж өгөх ёстой; шууд IP-г дэмждэггүй).

iOS болон Android дээр уг програм 1.1.1.1 Cloudflare нь шифрлэгдээгүй хүсэлтийг таслан зогсоохын тулд VPN API ашиглан DoH эсвэл DoT-г хатуу горимд идэвхжүүлдэг. тэднийг аюулгүй сувгаар дамжуулна.

Линукс дээр, systemd-resolved systemd 239-ээс хойш DoT-г дэмждэг. Энэ нь анхдагчаар идэвхгүй болсон; Энэ нь гэрчилгээ баталгаажуулахгүйгээр оппортунист горим, CA баталгаажуулалттай хатуу горимыг (243 оноос хойш) санал болгодог боловч SNI эсвэл нэрийн баталгаажуулалтгүйгээр итгэлцлийн загварыг сулруулдаг зам дээр халдагчдын эсрэг.

Линукс, macOS эсвэл Windows дээр та DoH клиент гэх мэт хатуу горимыг сонгож болно cloudflared proxy-dns (анхдагчаар энэ нь 1.1.1.1-г ашигладаг боловч Та дээд урсгалыг тодорхойлж болно хувилбарууд).

Мэдэгдэж буй ЭМГ-ын серверүүд (Windows) болон хэрхэн нэмж оруулах талаар

Windows Server нь DoH-г дэмждэг нь мэдэгдэж буй шийдүүлэгчдийн жагсаалтыг агуулдаг. Та үүнийг PowerShell-ээр шалгаж болно мөн шаардлагатай бол шинэ оруулгуудыг нэмнэ үү.

Эдгээр нь мэдэгдэж байгаа ЭМГ-ын серверүүд:

Сервер эзэмшигч	DNS серверийн IP хаягууд
Үүлэн гялбаа	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Учир нь ver la lista, гүйцэтгэх:

Get-DNSClientDohServerAddress

Учир нь загвартай нь шинэ ЭМГ-ын шийдүүлэгч нэмнэ, usa:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Хэрэв та олон нэрийн орон зайг удирдаж байвал NRPT танд зөвшөөрнө тодорхой домэйныг удирдах ЭМГ-ыг дэмждэг тодорхой шийдүүлэгч рүү.

ЭМГ идэвхтэй эсэхийг хэрхэн шалгах вэ

Хөтөч дээр зочилно уу https://1.1.1.1/help; эсэхийг та тэндээс харах болно таны урсгал DoH ашиглаж байна 1.1.1.1-тэй эсвэл үгүй. Энэ нь таныг ямар статустай байгааг хурдан шалгах тест юм.

Windows 10 (2004 хувилбар) дээр та сонгодог DNS урсгалыг (порт 53) хянах боломжтой. pktmon давуу эрхтэй консолоос:

pktmon filter add -p 53
pktmon start --etw -m real-time

Хэрэв 53 дээр багцын тогтмол урсгал гарч ирвэл энэ нь маш их магадлалтай юм Та шифрлэгдээгүй DNS ашиглаж байна. Санаж байна уу: параметр --etw -m real-time 2004 он шаардлагатай; өмнөх хувилбаруудад та "үл мэдэгдэх параметр" алдааг харах болно.

Нэмэлт: чиглүүлэгч дээр тохируулах (MikroTik)

Хэрэв та чиглүүлэгч дээр шифрлэлтийг төвлөрүүлэхийг хүсвэл MikroTik төхөөрөмж дээр DoH-г хялбархан идэвхжүүлж болно. Эхлээд үндсэн CA-г импортлох үүнд таны холбогдох сервер гарын үсэг зурна. Cloudflare-ийн хувьд та татаж авах боломжтой DigiCertGlobalRootCA.crt.pem.

Файлыг чиглүүлэгч рүү байршуулж ("Файл" руу чирж) дараа нь очно уу Систем > Сертификат > Импорт түүнийг нэгтгэх. Дараа нь чиглүүлэгчийн DNS-г тохируулна уу Cloudflare DoH URL-уудИдэвхтэй болмогц чиглүүлэгч нь шифрлэгдсэн холболтыг өгөгдмөл шифрлэгдээгүй DNS-ээс илүүд үздэг.

Бүх зүйл эмх цэгцтэй байгаа эсэхийг шалгахын тулд зочилно уу 1.1.1.1/тусламж чиглүүлэгчийн ард байгаа компьютерээс. Та мөн терминалаар дамжуулан бүх зүйлийг хийх боломжтой Хэрэв та хүсвэл RouterOS дээр.

Гүйцэтгэл, нэмэлт нууцлал, хандлагын хязгаарлалт

Хурдны тухайд хоёр хэмжүүр чухал байдаг: нягтралын хугацаа ба хуудасны бодит ачаалал. Бие даасан тестүүд (SamKnows гэх мэт) Тэд DoH болон сонгодог DNS (Do53) хоорондын ялгаа нь хоёр талдаа ахиу байна гэж дүгнэсэн; практик дээр та ямар ч удаашралыг анзаарах ёсгүй.

DoH нь "DNS query" -ийг шифрлэдэг боловч сүлжээнд илүү олон дохио байдаг. Хэдийгээр та DNS-г нуусан ч ISP ямар нэгэн зүйлийг дүгнэж болно TLS холболтоор (жишээ нь, зарим хуучин хувилбарт SNI) эсвэл бусад ул мөр. Нууцлалыг сайжруулахын тулд та DoT, DNSCrypt, DNSCurve эсвэл мета өгөгдлийг багасгадаг үйлчлүүлэгчдийг судлах боломжтой.

Бүх экосистем ЭМГ-ыг хараахан дэмждэггүй. Олон өв залгамжлагч үүнийг санал болгодоггүй., олон нийтийн эх сурвалжид найдах (Cloudflare, Google, Quad9 гэх мэт). Энэ нь төвлөрөлтэй холбоотой маргааныг нээдэг: асуултуудыг цөөн хэдэн оролцогчид төвлөрүүлэх нь нууцлал, итгэлцлийн зардалд хүргэдэг.

Байгууллагын орчинд ЭМГ нь аюулгүй байдлын бодлоготой зөрчилдөж болзошгүй DNS хяналт эсвэл шүүлтүүр (хорлонтой програм, эцэг эхийн хяналт, хууль тогтоомжийн нийцэл). Шийдэлд DoH/DoT шийдэгчийг хатуу горимд тохируулах, эсвэл домэйн дээр суурилсан блоклохоос илүү нарийвчлалтай програмын түвшний хяналттай хослуулах MDM/Group Policy орно.

DNSSEC DoH-ийг нөхөж байна: ЭМГ нь тээврийн хэрэгслийг хамгаалдаг; DNSSEC хариултыг баталгаажуулнаҮрчлэх нь жигд бус, зарим завсрын төхөөрөмжүүд үүнийг эвддэг боловч эерэг хандлагатай байна. Шийдвэрлэгч болон эрх мэдэл бүхий серверүүдийн хоорондох зам дагуу DNS нь шифрлэгдээгүй хэвээр байна; Хамгаалалтаа сайжруулах зорилгоор томоохон операторуудын дунд DoT ашиглах туршилтууд (жишээ нь, Facebook-ийн эрх бүхий серверүүдтэй 1.1.1.1).

Завсрын хувилбар бол зөвхөн хооронд нь шифрлэх явдал юм чиглүүлэгч ба шийдэгч, төхөөрөмжүүд болон чиглүүлэгчийн хоорондох холболтыг шифрлээгүй орхино. Аюулгүй утастай сүлжээнд ашигтай боловч нээлттэй Wi-Fi сүлжээнд ашиглахыг зөвлөдөггүй: бусад хэрэглэгчид LAN дотор эдгээр асуулгад тагнах эсвэл удирдах боломжтой.

Өөрийнхөө ЭМГ-ын шийдлийг гарга

Хэрэв та бүрэн бие даасан байхыг хүсч байвал өөрийн шийдэгчийг байрлуулж болно. Unbound + Redis (L2 кэш) + Nginx нь ЭМГ-ын URL-д үйлчлэх, автоматаар шинэчлэгдэх жагсаалт бүхий домэйнүүдийг шүүх түгээмэл хослол юм.

Энэ стек нь даруухан VPS дээр төгс ажилладаг (жишээлбэл, нэг судалтай/2 утас гэр бүлийн хувьд). Энэ агуулах гэх мэт ашиглахад бэлэн заавар бүхий гарын авлагууд байдаг: github.com/ousatov-ua/dns-filtering. Зарим VPS үйлчилгээ үзүүлэгчид тавтай морилно уу шинэ хэрэглэгчдэд зориулсан тул та туршилтыг бага зардлаар тохируулах боломжтой.

Хувийн шийдэгчийн тусламжтайгаар та шүүлтүүрийн эх сурвалжаа сонгож, хадгалах бодлого болон Асуултаа төвлөрүүлэхээс зайлсхий гуравдагч этгээдэд. Үүний хариуд та аюулгүй байдал, засвар үйлчилгээ, өндөр хүртээмжийг удирддаг.

Хаахаасаа өмнө хүчинтэй байх тухай тэмдэглэл: Интернет дээр сонголтууд, цэсүүд, нэрүүд байнга өөрчлөгддөг; зарим хуучин хөтөч хуучирсан байна (Жишээ нь, Chrome-д "тугнууд"-аар орох нь сүүлийн үеийн хувилбаруудад шаардлагагүй болсон.) Хөтөч эсвэл системийн баримт бичгээсээ байнга шалгаарай.

Хэрэв та энэ хүртэл хүрсэн бол DoH юу хийдгийг, DoT болон DNSSEC-ийн оньсогоонд хэрхэн нийцэж байгааг, хамгийн чухал нь, Үүнийг яг одоо төхөөрөмж дээрээ хэрхэн идэвхжүүлэх талаар DNS нь тодорхой зайд шилжихээс урьдчилан сэргийлэх. Хөтөч дээрээ хэдхэн товшилт хийх юм уу Windows-д тохируулга хийснээр (Сервер 2022-ын бодлогын түвшинд ч гэсэн) танд шифрлэгдсэн асуулга байх болно; Хэрэв та зүйлийг дараагийн түвшинд аваачихыг хүсвэл шифрлэлтийг MikroTik чиглүүлэгч рүү шилжүүлэх эсвэл өөрийн шийдэгчийг бүтээх боломжтой. Гол нь, Чиглүүлэгчдээ хүрэхгүйгээр та өнөөдөр замын хөдөлгөөний хамгийн хов жив тарьдаг хэсгүүдийн нэгийг хамгаалж чадна..