Comments 98
Столкнулся с тем, что на айфонах по умолчанию стоит галка динамически менять mac-адрес при подключении к вайфай, потому все эти привязки Mac-IP-пользователь в kid-control нормально не работали.
В итоге просто сделал отдельную вай-фай с сеть (с отдельным security profile), которая включалась и выключалась шедулером на несколько часов в день.
А вот как сделать квоту на несколько часов, чтобы пользователь мог сам выбирать когда потратить своё время без сложных решений, типа RADIUS, так и не придумал :(
На последних версиях андроида, к слову, такое же поведение по умолчанию
MAC рандомится в сетях wi-fi без пароля.
С Android 10 (Q) и выше - рандомизация стоит по умолчанию для любого типа WiFi.
выдержка из документации
For devices running Android 10 or higher, the framework uses randomized MAC address by default.
Users can enable or disable MAC randomization for individual networks through an option in the Network details screen in Settings, as shown in Figure 1.
If a user disables MAC randomization for a network, the framework uses the factory MAC address (globally unique address).
https://source.android.com/devices/tech/connect/wifi-mac-randomization-behavior
Starting with iOS 14, iPadOS 14, and watchOS 7, your device improves privacy by using a different MAC address for each Wi-Fi network. This unique MAC address is your device's private Wi-Fi address, which it uses for that network only.
In some cases, your device will change its private Wi-Fi address:
If you erase all content and settings or reset network settings on the device, your device uses a different private address the next time it connects to that network.
Starting with iOS 15, iPadOS 15, and watchOS 8, if your device hasn’t joined the network in 6 weeks, it uses a different private address the next time it connects to that network. And if you make your device forget the network, it will also forget the private address it used with that network, unless it has been less than 2 weeks since the last time it was made to forget that network.
Во второй части статьи поговорим о других возможностях работы, которые применимы для данной ситуации с непринципиальными изменениями.
Присоединюсь. Очень хочется ограничить именно квотой в день. Расписания явно не достаточно.
А просто управлять экранным временем не вариант? У меня у дочери айпад. На нем можно задавать квоты на приложения, вплоть до доменов в браузере. Подозреваю андроид это тоже умеет. Активно пользуюсь. Единственная проблема - музыка и аудиосказки. Ребенок понял, что можно выключить экран и время идти не будет.
Вариант. И он используется. Но это только телефон. А что делать со старым андроид-планшетом и стационарным компьютером? Некоторое время помогал платный KasperskyKids (или как он там), но ребенок научился его обманывать.
А как он его обманывал, вы не знаете ?
Не раскололся. :) Но главное ему было не лочить учетку, иначе уже не мог войти.
Но после этого я перестал продлевать подписку.
Kaspersky Kids как и пяток других подобных программ банально не работают, т. к. считают время активной сессии пользователя. достаточно сделать logout/login и сидеть дальше. проверено на личном опыте.
решилось путём написания PowerShell скрипта и 2-х задач в планировщике.
при входе в систему пользователя "child" - "триггерится" задача в планировщике, она же запускает скрипит. начинается отсчёт скажем в 2 часа. за 1 минуту до истечения срока пользователь получаем pop-up от системы об окончании сессии. далее происходит принудительный "logoff" этой учётной записи с последующим отключением. что называется - на сегодня хватит. на следующий день 2-я запланированная задача "триггерится" по таймеру, скажем вечером в 7 часов и включает учётную запись обратно.
ну и защита от livecd в лице bitlocker, хоть это и перебор на мой взгляд
Я детям ставил, если память не подводит, то обходили через режим SOS, потом открытие файла, таким образом добирались до проводника и запускали приклад из него.
Люди с крестами на защите детей.... иронично.
Итого родителям надо:
Купить микротик.
Научится в микротик.
Арендовать виртуалку.
Научится в Линукс и веб.
И в итоге дети будут прекрасно смотреть порно через мобильный инет?
А что мешает ограничить трафик на мобильном интернете, чтобы хватало условно на мессенджеры только. Интернет для ребёнка нужен для учебы- учеба на компьютере эффективно проходит, а не на мизирном экране телефона. Было бы желание и тогда идеи появятся
Очень интересует, как на айфоне ограничить доступ к порно-сайтам через мобильный интернет? Есть какие-то программы?
Например у МТС есть услуга под названием «Контроль интернета. Родитель»
Вы можете ограничивать доступ к ряду сайтов через приложение, можете установить расписание пользования интернетом и та и тд. У МТС стоимость 3₽/сутки.
Скорее всего у Билайн есть что то подобное.
Можно поставить 1.1.1.1 от Cloudflare и включить "семейный DNS с блокировкой порно".
Или платный DNS Override - в нем можно выбрать/указать ns.
Вот как запретить его отключать - вопрос.
На айфоне есть встроенная функция «ограничения», переименованная в «экранное время». Там можно и сайты ограничить, и время использования девайса, как и отдельных приложений.
Можно поставить DNS-профиль от adguard с семейной защитой. Инструкция.
Android>Chrome>Settings>Privacy and security>Use secure DNS
И родительский контроль всё, кончился.
По идее все сложнее - нужен нормальный ngfw, с обновляемыми базами, парсингом keywords и прочими L7 правилами.
Может наконец у меня получиться заблочить rutube, 1tv и прочие прелестные сайты:) Спасибо!
Да, так можно в пределах дома. Это +/- нормально. Подобным образом делал whitelist. Но проблема в том, что за пределами. Мобильный интернет, бесплатные wifi точки, точки без пароля, шаринг интернета у друга и т.д.
Вроде бы у google/ms/apple были свои child control/parent control на учётки и устройства. У гугла вроде вообще можно было делать так, чтобы подавали реквест на добавления сайта в разрешенные и много чего другого, у остальных хз.
Хотя смотря на подобные цели именно по домашней сети невольно проскальзывает мысль "Как бы сюда хорошо подошел какой-нибудь check point 1590 (не реклама) со своим фильтром контента, контролем сигнатур приложений и потоковым антивирусом", а потом вспоминаешь цену и лицензии.
Напишите, пожалуйста, статью об конфигурации vlan для iot устройств
/ip dns static add address=127.0.0.1 regexp=\\*example\.com$
Вот только при большом размере этого списка MikroTik начинает жутко тормозить.
Действительно. В чем смысл покупать выделенную VPS, если можно настроить DHCP сервер на выдачу разных адресов DNS серверов? Детям - локальный DNS MikroTik со статическими адресами-заглушками, всем остальным - какой-нибудь публичный или провайдерский.
У вас «в руках» швейцарский нож, с которым можно подобрать наиболее оптимальное решение под конкретные условия.
Регулярные выражения всегда затратная штука. Если сеть крупная и роутер слабый, есть смысл выноситься на отдельный сервер.
Как по мне, то родители должны сами рассказать, что будешь сидеть много в интернете - потеряешь зрение, а не играться в блокировку :)
P.S. Справедливости ради отмечу, что это тоже иногда не срабатывает и тогда в ход идёт белый список на роутере :)
это тоже иногда не срабатывает
Никогда не срабатывает. На примере трех детей, старшая уже живет отдельно и зрение попортила зависанием в телефоне. Средний с 4 лет просто маниакальное стремление к играм проявлял, в 13 лет сидит по 12 часов в день легко, ничего кроме игр, достаточно примитивных его не интересует, любое другое занятие через 5 минут наводит тоску на ребенка, квадракоптер, пейнтбол, ремонт машины. Младшая 4 года, экстраверт и особого интереса к играм, мультикам и однообразным занятиям не проявляет, нужно общение, игры с человеком в шахматы, догонялки. Поиграть в телефоне может, но через 5-10 минут интерес пропадает.
Думаю в будущем компьютерные игры приравняют к наркотикам и следующее поколение будет удивляться, как можно было безлимитно играть без ограничений. Как мы удивляемся мемам с фотографиями начала века, где героин продавали как средство от кашля. Всё хорошо в меру, а мера не всегда самостоятельно устанавливается, вижу что обратные связи не у всех работают, даже наоборот, чем дольше сидишь в играх, тем больше хочется и сложнее в реальном мире.
У меня была подобная картина; сын залипал в телефон и в одно время начал немного прищуриваться после игр. Просьбы, игрушки, прочее - результата не давало от слова совсем. Пришлось применить грубую силу - всё поставили под пароль, естессна была обратная реакция, но старались с женой как-то заинтересовывать, гулять, общаться, немного шантажа (увы, пришлось), потом в деревню на пару месяцев уехали, где даже моб.связь с трудом ловит. Сейчас слава Богу всё хорошо, дома на мобилке игр нет никаких, играет на телефоне, когда тётя/мама/etc приходят в гости. Единственное, когда я не работаею, играет исключительно на ПК (могу порекоммендовать Discovery Tour by Assassin's Creed, Мышкина энциклопедия, сейчас проходим It Takes Two) Мультики как я написал выше блокируются белым списком (моим 6,5 и 2,5; пока ещё верят, что это компьютер перегрелся и вообще интернет дядька отключил/не заплатили:)
Попробуйте поговорить с чадом (объяснить вред и последствия залипания в экран), провести побольше времени (нарисовать картину, сыграть в настолку, да сходить за продуктами в конце-концов) 13 лет это уже много, плюс-минус можно достучаться. Главное не опускать руки :) Ещё мысль пришла: создайте такие условия, чтобы телефоном пользоваться было невозмоно от слова совсем (приложение, в котором через вебсокет слушается команды на что-то нехорошее: ребут, бесконечный цикл... На андроиде это не должно быть сложно, с айос не знаком)
Было бы круто, если в будущем будут игры по талонам, но это очень вряд-ли, будущее кмк за VR/AR. Поживём - увидим :)
создайте такие условия, чтобы телефоном пользоваться было невозмоно от слова совсем
Тогда я стану злодеем и врагом №1, вместо дружеского общения и ребенку стресс. Тут похоже склад характера такой, склонность к игровой зависимости, простыми способами не получилось победить. У других детей такой проблемы нет вообще. Старшая еще есть, зависала в социальных сетях как все подростки, с 17 лет нормально зарабатывает и живет отдельно, много работает, проблем с телефоном и играм нет ни в каком виде. У младшей в 4 года тоже вижу что нет признаков как у сына в этом же возрасте. Телефону и компьютеру предпочтет живые игры в карты, монополию, шахматы. Я сам как интроверт предпочел бы за компьютером посидеть и желание позадротствовать в игры мне понятно (или покодить, посерфить в интернете, у сына такого нет к сожалению).
Если была бы только дочка младшая, я бы тоже мог свысока смотреть на проблемы родителей у которых дети с игровой зависимостью, типа уделите внимание ребенку и проблема исчезнет сама собой. А тут нет, вижу изначально разные склады характера, стремления и особенности поведения. Яркий пример экстраверта и глубокий интроверт. Экстраверту достаточно 5 минут побыть наедине с собой, а интроверту достаточно 5 минут общения в день и что свыше уже тяготит видно.
Было бы круто, если в будущем будут игры по талонам, но это очень вряд-ли, будущее кмк за VR/AR. Поживём - увидим :)
Так VR может быть сугубо рабочей, или еще более рабочей, без развлекательного контекста уже не так интересно. А залипание происходит на пестрые игрушки где минимальными усилиями максимум изменений достигается, дофаминовая наркомания, пробой в системе деятельности и мотивации. Зачем грызть гранит науки и/или работать, если дофамина много можно получить простым способом, обманув несложные защитные механизмы мозга.
Китай кстати борется давно с проблемой, статья 2015 года
Зачем нагружать микрот непредназначенными для него задачами? proof of concept?
У вас ведь есть VDS на linux?
При домашнем использовании присутствует соблазн иметь весь функционал внутри одного устройства.
Простите. Редко пишу: то ли движок не даёт править, то ли я идиот. Короче говоря не дописал я вчера, а исправить не смог.
Я так понял дома нет желания держать сервер? Кстати, им может быть что-то NUCподобное, например на intel N4ххх уже встанет гипервизор - а такую коробку буквально не видно, не слышно, в счёте за электричество не заметно, и на юлито при определенном везении можно купить за 5-7К (примерно стоимость средне-начального микротика). Тогда на VPS ставьте Pi-Hole. И поднимайте до сервера site-to-site с микрота, чтобы Pi-hole мог различать клиентов (между ним и клиентами не было NAT). Настраивайте листы, группы, разбивайте клиентов по группам. Наслаждайтесь.
Есть конечно, в этом одна неприятная побочка: если вы подтяните те листы, ради которых обычно ставят Pi-hole, вы больше не сможете лицезреть прекрасную рекламу, лезущую из всех щелей. Но можно использовать только свои листы, для ограждения детей от интернета, и тогда всё будет норм. =)
И сразу по поводу возможных коментов про младшие микроты и VPN: даже если вы всей семьёй будете раз в 2-3 секунды открывать новую страницу, на загрузку камня из-за DNS трафика, обёрнутого в VPN, можно не рассчитывать.
А зачем люди сидят, хотя для этого не предназначены? Может быть потому, что это удобно?
Для чего же микрот предназначен? Как всякие D-link настроить на параметры от провайдера и сидеть как есть и не дай бог ничего не настраивать и не выжимать максимум из доступного функционала?
Зачем это все? Выдавайте ему DNS от Яндекса и все? Ну или возьмите РК от провайдера, щас только ленивый такое не предлагает. Как вам сказали выше, при большом списке сайтов - ваш микротик начнет загибаться.
Вместо настройки своего днс можно поставить проект https://pi-hole.net/ например в докере на той же малинке. Неплохо блокирует всякую гадость "из коробки". В паре с кидс контролом у меня работает вполне устойчиво. По статистике в среднем 12.5% днс запросов из домашней сети оказывается заблокировано :)
Кстати, в седьмой версии RouterOS можно поднять контейнер через docker прямо на самом роутере. И никакой дополнительный сервер будет не нужен.
https://help.mikrotik.com/docs/display/ROS/Container
Ага, т.е. роутер будет и трафик рулить и ДНС- запросы фильтровать и страничку показывать? Он у вас загнется от такой нагрузки, ресурсы то не бесконечные.
-> cpu-load: 9%
Следите за нагрузкой ЦП, если идете в 30% и выше, ищите что так перегружает его. Обязательно к использованию:
/ip firewall filter
add action=accept chain=input comment=«Accept established,related» connection-state=established,related
add action=drop chain=input comment=«Drop invalid» connection-state=invalid
add action=accept chain=forward comment=«Accept established,related» connection-state=established,related
add action=drop chain=forward comment=«Drop invalid» connection-state=invalid
полезное, добавлю в закладки
а от себя хочу поделиться своим решением по "безопасному DNS" (больше для жены ибо дитятко пока маловато в интернеты тыкаться) построенным на базе https://github.com/StevenBlack/hosts и openwrt: https://itrus.su/itrus.su--linux_t&t--OpenWRT--StevenBlack_hosts.html
Минут десять пытался въехать, почему вначале предлагают просто редиректить DNS запросы на DNS сервер, запущенный на микротике, а потом предлагают их уже NAT'ить. Завтра ещё раз попробую.
Нет, я вижу, что правило редиректа отключается. Я понял всё описанное так.
В первом варианте на роутере запускается служба DNS и на всех клиентах в настройках сети стоит полученный по DHCP DNS 10.0.0.1 - адрес роутера. Чтобы дети не настроили свой DNS настроен перехват DNS запросов и заворот их на DNS службу роутера.
Во втором случае клиента по DHCP получают нормальные DNS сервер, без родительского контроля (Кстати, было бы здорово, если бы в примере IP отличались не одной цифрой. Я на самом деле очень сонный сейчас и заметил разницу только скопировав адреса в блокнот), а DNS запросы с устройств из списка "Children" опять перехватываются и уже не просто перенаправляются, но ещё и натяться в адрес 10.0.0.1 и вот тут я слишком сонный, чтобы это понять. Просто чтобы показать, что можно и так и так?
Эм, зачем городить весь этот огород? Просто ставится куда-нибудь пихуль (Pi-hole) и два бриджа со своими dhcp и dns - для своих устройств и для детей. И то, если это так уж надо. Все. Но тогда будет не о чем статьи писать, верно?
А что ограничивать - дело такое. Сам себе заблокировал 840 тысяч доменов. Реклама, трекинг, казино, всякие подозрительные ресурсы и мой личный список хейта - мейлрушечки, векашечки и вот это вот все. А ограничивать порно... зачем? Изверги что ли?
Pi-hole - это подделка (сделай сам) на одноплатнике. А MikroTik - это маршрутизатор корпоративного уровня. Статья написана для тех, кто его установил дома, а компетенции настроить под собственные задачи не хватает .
Какое еще сделай сам? Дистрибутив Pi-hole ставится одной командой на обычный Debian. А обычный Debian без разницы на чем работает. У меня на одной из виртуалок. Сами себе придумали проблему и сами героически ее решили.
Человек без компетенции не купит себе микрот. А даже если и купит, то прописать свой локальный dns проще, чем городить все, что в статье.
Впрочем, каждый развлекается как хочет.
Raspberry Pi, Black hole, Pi hole - интересная игра слов. Можно установить целый сервер с Linux, который заменит роутер. Все все там настроить. Но для этой задачи существуют отдельные устройства. Тема статьи - организация родительского контроля на оборудовании MikroTik, написана для пула пользователей оборудованием данного производителя, которым интересно, как это можно сделать на RouterOS.
Да, а давайте на микротике заодно еще и сайт поднимем. Ну а что, можно же. У железки ограниченные ресурсы. Вам выше уже писали, что микрот загнется от больших списков.
Не делайте троллейбус из буханки просто потому, что можете. И Вы сами же в статье пишите в итоге про отдельный VDS. А значит, все-равно все сводится к отдельной тачке для dns.
Ну и кто тут со словами играет?
Давайте ещё раз проговорим основные тезисы. Задача: организация родительского контроля. Входные данные: оборудование MikroTik. Применяем: DNS, Firewall Filter, Firewall Mangle, Kid Controle. Если надо масштабироваться - делаем. Как проверить нагрузку на маршрутизатор, в комментах я писал. Если все сделано адекватно - получим отлично работающее качественное решение.
del
К сожалению, функционал родительского контроля в микротике очень неочень, а предлагаемое вами решение несколько переусложнено и не покрывает кейс когда у чилдренов есть ещё тачки с ethernet-линком
Я в своё время перебрал достаточно много вариантов и, в итоге, пришёл к тому, что был сделан бридж со своим пулом серых ip специально для детей, этот бридж обслуживает и отдельный "детский" wlan и ethernet-розетки в детской. Все dns-запросы с этого пула ip редиректятся в "днс для детей", в частности 77.88.8.7 (не реклама, тут может быть любой другой dns), а вместо того чтобы гасить wlan и/или ethernet, просто по времени реджектится любой исходящий траффик правилами фильтрации
Мои вкусы очень специфичны, а потому хотелось бы видеть:
– Возможность определять устройства не по MAC, а по IP (с маской и без) и по имени учётной записи из радиуса, например
– Возможность гибко настраивать каждый день, т.е., условно, "интернет есть в понедельник с 16 до 17 и с 20 до 21, а в воскресенье есть с 9 до 16 и с 19 до 21" и т.д. и т.п. Для примера, у меня настроено вот так:
По поводу настройки bind - правильно делать RPZ:
https://blog.bissquit.com/unix/nastrojka-response-policy-zone-rpz-v-bind9/
Или вот, даже:
/ip dns static add address=127.0.0.1 regexp=\\\\*example\.com$
Выдаёт ошибку.
syntax error (line 1 column 45)
/ip dns static add address=127.0.0.1 regexp="\\\\*example\.com$"
С кавычками синтаксис на * ругается.
Разница -> \\.
Сам себе РКН или родительский контроль с MikroTik (ч.1)