URL-фильтрация

[Bobr]

Планируется ли вернуть URL фильтрацию (как это было на 1 версиях прошивки для старых белых кинетиков) ? в тв начали пихать рекламу в смарт, хочу заблокировать.

[BACbKA]

Подниму тему, ибо очень интересно иметь такую опцию непосредственно в роутере из коробки, без плясок с бубнами и погремушками.

[BACbKA]

Наберусь храбрости и таки апну старую тему.

[BACbKA]

В 22.07.2016 в 15:56, Александр Рыжов сказал:

SkyDNS доступен из коробки, а в чёрный и\или белый списки домены можно добавлять самому.

Ну, как по мне, так это плагин платного сервиса включённый в роутер. А хотелось бы не плагином фильтровать, а фильтровать это именно межсетевым экраном самого роутера. Без всякого рода отсылки на сервисы, подобные SkyDNS.

[reevz]

Поддерживаю! очень нужная функция. Типа Родительский контроль).

[was_il]

Планируется ли вернуть URL фильтрацию...

Поддерживаю. Тоже очень нужно

[dima210194]

+1, нужно собственное средство фильтрации, ибо использование сторонних сервисов дает кучу ненужных блокировок (привет РН-зу)

[m__a__l]

Остается надеяться, что найдется человек со знаниями и прямыми руками, которому это нужно и прикрутит к примеру прозрачный mitmproxy на роутер ну и в идеальном варианте добавит возможность правки перенаправляемых ссылок в графическом интерфейсе.
Ну и второй немаловажный фактор, что для этого хватит аппаратных ресурсов роутера 

[BACbKA]

Всё-таки буду настойчив, апну тему. А то даже в DIR-615 это есть, а тут почему-то нет

[ruschestor]

Поддерживаю просьбу добавить фильтрацию (не только по URL, а еще и по портам), независимую от внешних сервисов.

До Keenetic Giga (KN-1010) был NetGear WNR3500L c прошивкой Tomato, где была функция "Access Restriction". Иногда было очень удобно решить простую задачу. И это было реализовано не простым блокированием DNS-запросов, можно было выбрать протокол, порт, расписание и т.п.

[Le ecureuil]

14 часа назад, ruschestor сказал:

Поддерживаю просьбу добавить фильтрацию (не только по URL, а еще и по портам), независимую от внешних сервисов.

До Keenetic Giga (KN-1010) был NetGear WNR3500L c прошивкой Tomato, где была функция "Access Restriction". Иногда было очень удобно решить простую задачу. И это было реализовано не простым блокированием DNS-запросов, можно было выбрать протокол, порт, расписание и т.п.

Вы читали посты выше?

Несколько раз было повторено, что в современном Интернет, где SSL-трафика больше половины, это НЕВОЗМОЖНО без MITM и снижения уровня безопасности соединений (ну или везде сапомодписанные корневые сертификаты пользователя заставлять пихать).

Технически как себе представляете работу этой фичи?

[ruschestor]

7 часов назад, Le ecureuil сказал:

Вы читали посты выше?

Несколько раз было повторено, что в современном Интернет, где SSL-трафика больше половины, это НЕВОЗМОЖНО без MITM и снижения уровня безопасности соединений (ну или везде сапомодписанные корневые сертификаты пользователя заставлять пихать).

Технически как себе представляете работу этой фичи?

Конечно. Я и не говорю об HTTPS. Функционал Tomato, как я написал, позволяет блокировать не только HTTP запросы, но и другие протоколы/порты. Возможности этой фичи много шире чем просто фильтрация DNS запросов.

[ruschestor]

В 04.07.2018 в 11:52, Le ecureuil сказал:

Включите торрент на ПК на всю скорость, и при этом пару фильтров. Лучший тест.

Ок. Нашел время провести тесты производительности, как вы и просили.

Провайдер: Билайн. Тариф: 50 Мбит/с.
Чтобы все не переделывать подключил роутер NetGear после Keenetik'а.
Схема: Beeline --LAN/DHCP--> Keenetic Giga (KN-1010) --LAN/DHCP--> NetGear WNR3500L --WiFi (802.1n/150 Mbps)--> PC

Создал 3 правила в разделе Access Restriction:
Правило №1 - только http заголовки 100 штук.
Правило №2 - только sip протокол.
Правило №3 - http заголовки 100 штук и блокировка файлов ActiveX, Flash, Java

Тест №1 - speedtest.net (до Dolgoprudny)
Без правил
ping: 5 ms | Download: 64.03 Mbps | Upload: 83.69 Mbps
ping: 6 ms | Download: 56.90 Mbps | Upload: 81.40 Mbps
ping: 6 ms | Download: 59.18 Mbps | Upload: 78.04 Mbps

С правилами
ping: 5 ms | Download: 58.50 Mbps | Upload: 72.56 Mbps
ping: 5 ms | Download: 61.36 Mbps | Upload: 73.66 Mbps
ping: 5 ms | Download: 59.03 Mbps | Upload: 73.37 Mbps

Тест №2 - Загрузка торрента
Без правил - до 8 МБ/с.
С правилами - до 7.7 МБ/с.

В обоих случаях при высокой скорости загрузки ~60 Mbps CPU загружался до 90-95%.
Итого, ощутимой разницы нет. В данных тестах много переменных, которые могли повлиять на результат: другие источники домашней сети, соседние WiFi сети, загруженность сервера speedtest, потеря пиров при загрузке торрента и т.д. Вероятно, если делать детальный анализ и более сильно нагружать роутер правилами разница будет заметна. И это на процессоре ~450 MHz.

P.S. Да, тариф 50 Мбит/с, а по факту скорость провайдер выдает больше.

[OlegR]

Поддерживаю необходимость наличия возможности URL фильтрации средствами роутера.

Вы встройте её, и дайте пользователю уже решать использовать ее или нет ( включение/отключение в настройках ) .

Пусть пользователь сам смотрит устраивает ли его работа роутера при использовании URL фильтрации или нет.   

И не будет никаких споров.

Edited August 15, 2018 by OlegR

[Alexandr Pipkin]

Добрый день! Есть у меня небольшое пожелание по поводу возможности реализации на мой взгляд полезной функции фильтрации по url адресам реализуемой через создание алиасов по аналогии на примере pfsense. 
Я записал короткий 2 минутный ролик как я реализовал блокировку по ip и url сервисов варгеминг на работе на основе pfsense. 
( Для более наглядного примера что я имею в виду) 

( https://youtu.be/65tQZk24tPk ) 

Да я знаю что есть Яндекс днс , а так-же Sky dns, но почему бы не реализовать такую функцию прямо на железе, что-бы самому на прямую рулить блокировками без использования сторонних сервисов и их ограничений? 

Я являюсь недавним обладателем kkeenetic kn-1010 и его железо думаю вполне справится с таким функционалом. Честно скажу долго смотрел в сторону Микротика а так-же само сборного роутера на pfsense так как являюсь системным администратором. Но выбор пал все таки на ваш (взвесил все отзывы в интернете). 
У вас очень хорошая продукция. Спасибо я доволен. Пожалуйста посмотрите видео по ссылке которую я прикрепил выше и передаите его сотрудникам в отдел разработки для оценки рассмотрения возможности введения подобного функционала. 
Было-бы интересно услышать их мнение. Спасибо.

Edited February 14, 2019 by Alexandr Pipkin

[Le ecureuil]

13 часа назад, ydzhus сказал:

 

Добрый день

Можно ли реализовать контекстный контроль?

Например, хочу заблокировать канал на ютубе для детей.

Стандартные средсва типа яндекса и скайднс блокируют только домен

 

Эсли можно, например открытими пакетами, то какими лучше, и есть ли опыт успешной реализации?

Youtube работает через quic (UDP) и TLS. Такой трафик невозможно фильтровать без MITM.

[MDP]

А по сайтам https вообще URL фильтрация возможна?

[r13]

9 минут назад, ydzhus сказал:

Чоо такое MITM?

В гугле забанили?

https://ru.wikipedia.org/wiki/Атака_посредника

[Le ecureuil]

14 часа назад, ruschestor сказал:

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

Включите торрент на ПК на всю скорость, и при этом пару фильтров. Лучший тест.

[Mihail_Boyanskiy]

А можно сделать так. Если блокировать HTTPS-traffic, то блокировать 443 порт. Ведь он отвечает за такие соединения?

Или определять на какой IP он заходит по этому домену и блокировать типа: 1.2.3.4:443

[ajs]

В 20.06.2017 в 16:13, Александр Рыжов сказал:

а фича URL-фильтрации для него бесполезна.

URL фильтрация да, но по IP или Домену HTTPS спокойно можно фильтровать без подмены сертификатов

[ruschestor]

1 час назад, Le ecureuil сказал:

Что и требовалось доказать - из гигабитного устройство превратится в 100 мегабитное

Откуда такой вывод?

Это NetGear WNR3500L с процессором ~450 MHz (результат №2) без правил работает на 221/142 Mbps, а с правилами (результат №3) на 152/95 Mbps. В Giga (kn-1010) 2 ядра по 880 MHz.

Понятное дело, установив кучу приложений, включить весь функционал, можно "загрузить" любой роутер. Отмазка "сразу гигабитное устройство превращает в тыкву образца 2008 года." звучит не убедительно. Вы даже не проверили.

"Мы рекламируем Giga как гигабитное устройство." Пожалуйста, напишите большими буквами, что производительность при включении данной функции может упасть. И то, это еще надо проверить! А вы не хотите.

[ruschestor]

9 часов назад, Le ecureuil сказал:

Код контентной фильтрации (как и самой прошивки) не обновлялся с конца 2009.

Извините, это труп. Полный. И он никак не может быть даже примером.

" Где пруфы, Билли?"©

Ответвления Tomato, которой я и пользовался, обновлялись вплоть до начала 2017 года. И я вас не заставляю использовать тот же самый пакет - найдите новый, сделайте аналог...

Вы сначала проверьте, а потом уже делайте выводы или честно скажите, что просто не хотите.

  

[roma48]

так вроде бы есть SkyDNS для этого

[Le ecureuil]

И yandex.dns.

[susumi]

пользуюсь

http://rejector.ru/

[roma48]

Пользуйся viewtopic.php?f=4&t=247

[Александр Рыжов]

В 18.07.2016 в 13:17, BACbKA сказал:

Подниму тему, ибо очень интересно иметь такую опцию непосредственно в роутере из коробки,

SkyDNS доступен из коробки, а в чёрный и\или белый списки домены можно добавлять самому. Проверено, работает.

 

PS Кстати, URL-фильтр в ядре не совместим с аппаратным ускорением, поэтому при включении URL-фильтра на роутерах ASUS, к примеру, последние иногда превращаются в тыкву при работе торрент-клиента в локалке.

Edited July 22, 2016 by Александр Рыжов

[Keenetic]

В 08.12.2016 в 14:59, reevz сказал:

Поддерживаю! очень нужная функция. Типа Родительский контроль).

 

Добрый день

Можно ли реализовать контекстный контроль?

Например, хочу заблокировать канал на ютубе для детей.

Стандартные средсва типа яндекса и скайднс блокируют только домен

 

Эсли можно, например открытими пакетами, то какими лучше, и есть ли опыт успешной реализации?

Edited January 30, 2017 by ydzhus

[Le ecureuil]

9 минут назад, MDP сказал:

А по сайтам https вообще URL фильтрация возможна?

MITM или явный proxy

[Keenetic]

5 часов назад, Le ecureuil сказал:

MITM или явный proxy

Чоо такое MITM?