Подскажите метод определения DoH

Нашел возможное решение тут

https://www.reddit.com/r/HomeNetworking/comments/ou35zt/is_it_possible_to_block_dns_over_https_at_the/

Может кто еще что придумает.

iptables

Не нужно, есть nftables.

Можно по айпи забанить все публичные doh-провайдеры. А те кто смогут поднять непубличный себе, думаю смогут и что угодно ещё сделать чего ты всё равно не поймаешь. Ну или белые списки. Какая задача то в итоге?

В итоге задача просто запретить DoH в обход своего днс работающий. Выше я прислал ссылку там народ выдумал динамический фаервол+днс сервер. В итоге вообще весь трафик p2p отрежется и останется только разрешенный. При этом недостаток в том, что например торренты отвалятся, а хочется что бы отвалился только DoH.

Кому запретить то? Сотрудникам фирмы? Абонентам домашнего провайдера? Ещё кому? В зависимости от этого меняются допустимые методы фильтрации.

А вот какая связь между p2p трафиком и doh непонятно.

динамический фаервол+днс сервер

Идея такая, что давать доступ только на те адреса, которые отрезольвил твой днс. Имхо, тупняк.

Руби коннекты вида https://1.2.3.4

Не поможет.

1. Спайварь идет на мой DNS, резолвит имя публичного DoH.
2. Спайварь идет на https://DoH-IP и резолвит запрещенный на моем DNS серваке branch.io
3. Спайварь идет на https://brahcn-ip
4. В схеме, что на редите описали https://brahcn-ip неизвестен и потому отрубается, так как через DNS не прошел. Вся телеметрия сдохла, вместе с торрентами впрочем.

Если я записал оба айпишника в ipset и разрешил на фаерволе, то все пашет и блок обошли. Если рубить https://1.2.3.4 то все сдохнет.

Своему телефону, выше ссылка на гитхаб где ансибл плейбук есть с подробным описанием.

Это называется на роутерах disable direct traffic. Кстати, это делается не сложно с dnsmasq+iptables, там все для этого есть.

Отрубить всю телеметрию, что возможно.

И при чем тут DoH? Тут либо белые списки, либо каку не ставить.

А, допер, точняк, спасибо! Просто рубить неизвестные айпишники только если они по https! Идеально. Торренты останутся, DoH сдохнет как и вся телеметрия практически.

Тему можно закрыть, всем спасибо.

1) Торрентам не нужен https, хотя некоторые трекеры наверно работают и через него. Обычно там либо http (без ssl) либо свой udp протокол. Ну а p2p протокол точно вообще ни к каким вариациям http не привязан. Так что можешь блочить только 443 порт и наверно всё будет норм.

2) По-моему тут проще порезать либо резолв публичного doh в пункте 1, либо забанить его по айпи (если он статический) в пункте 2.

Это все не важно. ТС и от телеметрии не защитился, и проблем себе создал.

В итоге запилил и выяснилось, что таки да, часть спайвари ходит напрямую и это днс резаком не запретить, а вот внутри впн можно, обсужденным методом. Dnsmasq->ipset->log->drop not in ipset. Всем, кто хотел помочь и думал, большое спасибо. Остальные, желающие выпендритья, идите в жопу.

Китайское приложение для алика стучит на айпишники прямо, например. Позже алертинг сделаю. Кроме 443 и 80 портов трафика больше нет.