Входящие с 53 порта дропай, и исходящие на 53. Нужен днс в локалке. Иначе никак. Пров видит все dns запросы, и отвечает, даже если запросы не к провайдерскому dns.
dnscrypt поможет, найти провайдера поддерживающего emercoin/namecoin и прочее будет домашним заданием (в официальном списке рабочих нет по-моему, кроме того падают постоянно)
я видел только чтобы через подмену днс серты подменяли, сейчас вроде гугл с мозилой собирались внедрять ужесточение на волне историй из китая, но Five Eyes вроде попросили поубавить пыл уже
Речь не про подмену сертификатов, а про факт отсутствия шифрования при их получении.
Новости про «https over что-то там» регулярно выходили в прошлом году. Вот только там необходимость поддержки этого всего со стороны сервера. Т.е. не взлетит, и будет работать на паре сайтов(как http/2 сейчас).
Да я не про то. Мой локалхост, тоже по http/2 умеет, и гугл умеет, но это не массовое явление. Вот и https over... не получится на любом сервере использовать
а зачем шифровать запрос сертификата? достаточно проверять сертификат, что он не от левого васи. и сейчас основные браузеры это делают. но всё равно TLS1.3 шифрует всё сразу после начала хэндшейка. даже домен, если SNI наличествует.
Про https как таковой, тоже так говорили, а на практике на большинстве сайтов только http (сейчас набегут те, у которых интернет ограничен тремя социалочками, и будут говорить, что https есть везде).
Значит мы живем в разных мирах т.к. у меня всего 2 ресурса без шифрования работают. И это не социалочки. Админы этих ресурсов не видят смысла в переходе на https упоротые.
ну какбэ я социалочками как раз не пользуюсь и, пожалуй, могу назвать только пару сайтов без https. не знаю как там с социалочками, а остальные давно перешли.
Дело не в том, что «можно», а в том, что трафик должен быть защищен по дефолту. Хочешь голой жопой данными светить --, пожалуйста, но не говори, что другим нужно делать то же самое.
Кому должен?
С утра вкладка поисковика висит, сейчас открыл 10 результатов с 1 страницы поисковой выдачи:
tls 1.3 на 2-х сайтах, один из них хабр(привет социалочкам).
http на 4 сайтах.
Статистика конечно так себе, но в целом ситуацию отражает.
Мной быть самое то.
Да, искомая информация была по первой ссылке в выдаче, и сайт открылся по http.
Сейчас дописал в адрес https. Браузер пишет, что сертификат истёк прошлым летом, и выдан на другой домен.
system config-save
после ребута все возвращается в конфиг файле интерфейса вот такие значения вписаны остаются ip dhcp client no dns-routes
ip dhcp client no name-servers
вроде NO быть не должно там
и еше ipv6 name-server записывает как ip name-server
походу старый роутер шибко
В смысле не на нашем? Для меня родной язык - русский, на форуме тоже. Какая версия прошивки? Кинетик хорошо тем что даже для старых роутеров выпускает неофициальные прошивки до сих пор.
посоветуйте какой роутер купить чтоб минимализм был и практичность безопастность.
Безопасность зависит больше от настраивающего, а минимализм от подключённых фич. Прошивки многих роутеров модульные - можно хоть ip радио там поднимать. У кинетика есть свой репозиторий похожий на openwrt - называется entware, подключаете флэшку и можете ставить что хотите, даже компилировать не нужно.
Я не знаю, что у тебя там, но для PPP вроде как может быть обязательным провайдерский DNS по объективным причинам. Собственно, что ты пытаешься сделать на самом деле? Если надо в домашней сети НЕ использовать эти NS, то это настраивается в параметрах сегмента.
Тут http://files.keenopt.ru/firmware/Keenetic/2016-05-21/ 16 года, но в целом первый кинетик уже действительно отжил свое. Но system configuration save должно работать по любому иначе бы изменения через веб интерфейс не сохранялись, может в первых версиях ndm синтаксис другой был.
+ да именно так и заработало.
читаю про прошивки с флешки:
Преимущества и недостатки keenopt:
1. их просто нет, как и самого keenopt (проект закрыт) ) ну надо попробовать