Здравствуйте, A13x, Вы писали:

vsb>> ... Если надо блокировать на уровне сайтов, надёжно это делать можно только с помощью MITM, для этого надо установить свой доверенный корневой сертификат на клиентские устройства, если это какой-нибудь телевизор, там такого функционала может и не быть.

A>Хм, а нельзя ли этого же добиться с помощью dns server на gateway? То есть не пытаться прослушать трафик с установкой чего-то вроде squid-as-MITM, а давать "фейковые" ip для блокируемых сайтов?

Кстати да, можно. Фейковые не обязательно, просто отдавать NXDOMAIN. Что-то я затупил, я как раз так рекламу режу.

A>Т.е. так — предположим условный youtube заблокирован, на gateway установлен bind, который при попытке коннекта клиентское приложение пытается законнектится к youtube дает dns адрес внутреннего сайта отдающего страницу указывающую, что доступ ограничен.

Здравствуйте, A13x, Вы писали:

vsb>> ... Если надо блокировать на уровне сайтов, надёжно это делать можно только с помощью MITM, для этого надо установить свой доверенный корневой сертификат на клиентские устройства, если это какой-нибудь телевизор, там такого функционала может и не быть.

A>Хм, а нельзя ли этого же добиться с помощью dns server на gateway? То есть не пытаться прослушать трафик с установкой чего-то вроде squid-as-MITM, а давать "фейковые" ip для блокируемых сайтов?

Кстати да, можно. Фейковые не обязательно, просто отдавать NXDOMAIN, чтобы браузер уже не пробовал никуда соединяться, лишние микросекунды сэкономятся. Что-то я затупил, я как раз так рекламу режу.

A>Т.е. так — предположим условный youtube заблокирован, на gateway установлен bind, который при попытке коннекта клиентское приложение пытается законнектится к youtube дает dns адрес внутреннего сайта отдающего страницу указывающую, что доступ ограничен.