Большинство людей борются с фишингом, пытаясь стать лучше: учатся не переходить по подозрительным ссылкам, проверяют адресную строку, устанавливают антивирусы. Это правильно, но это пассивная оборона. Вы надеетесь на свою внимательность или на то, что антивирус успеет среагировать.
Есть другой подход — перестать давать телефону или компьютеру возможность даже «посмотреть» на опасный сайт. Если вы настроите DNS-фильтрацию, ваша сеть перестанет видеть известные мошеннические домены. Сайт просто не откроется, как будто он исчез из интернета. Никаких предупреждений, никаких красных экранов — просто ошибка соединения.
В этой статье я разберу, как превратить обычный маршрутизатор в мощный щит, используя инструменты Pi-hole или AdGuard Home. Это не теория, а пошаговая инструкция для тех, кто хочет закрыть дыры в безопасности домашнего или небольшого офисного интернета.
- Почему обычного антивируса недостаточно
- Выбираем оружие: Pi-hole против AdGuard Home
- Что нужно для запуска
- Пошаговая установка и настройка защиты
- Шаг 1. Подготовка сервера
- Шаг 2. Установка AdGuard Home
- Шаг 3. Первоначальная настройка
- Шаг 4. Подключение списков угроз (Самый важный шаг)
- Шаг 5. Настройка роутера (Включает защиту для всех)
- Что делать, если блокирует не то (Проблема ложных срабатываний)
- Частые ошибки новичков
- Сценарии использования: как выбрать правильную стратегию
- Как проверить, что всё работает?
- Итог: просто, эффективно, надежно
Почему обычного антивируса недостаточно
Фишинг сегодня работает на опережение. Мошенники создают поддельные страницы банков, почтовых сервисов или магазинов за несколько минут, скупают дешевые домены и начинают атаку. Пока антивирусная компания обновит базы сигнатур, сайт уже может украсть данные у десятков людей.
Кроме того, многие фишинговые рассылки приходят через мессенджеры или зашифрованные каналы, где антивирус не видит содержимое ссылки, пока вы её не нажмёте. Как только вы нажимаете, происходит подключение. Если соединение установлено — риск уже есть.
DNS-фильтрация работает на уровне «телефонной книги» интернета. Когда ваше устройство хочет перейти на bank-login-secure.com, оно сначала спрашивает у DNS-сервера: «Какой IP-адрес у этого сайта?». Если ваш локальный DNS-сервер (Pi-hole или AdGuard) знает, что этот домен — мошеннический, он не выдаст адрес. Вместо этого он сам закроет запрос.
Это как если бы вы хотели позвонить мошеннику, но ваша телефонная книга просто не давала бы вам набрать этот номер. Это работает быстрее любых антивирусов.
Выбираем оружие: Pi-hole против AdGuard Home
Существует два лидера в этой нише. Оба они решают одну задачу, но у них разный подход к реализации. Выбор зависит от того, насколько глубоко вы готовы копаться в настройках и какой интерфейс вам ближе.
Pi-hole — это классика. Он работает уже более десяти лет, очень стабилен и потребляет минимум ресурсов. Его интерфейс немного устарел, но он функционален. Pi-hole — это именно сетевой фильтр. Он отлично блокирует рекламу и трекеры, но для полноценной защиты от фишинга ему часто требуются дополнительные настройки или плагины.
AdGuard Home — более современный продукт. У него приятный и понятный интерфейс, есть встроенная функция шифрования DNS (DNS-over-TLS и DNS-over-HTTPS) «из коробки». Он быстрее обрабатывает списки угроз и часто обновляет базы. Для новичка он выглядит более дружелюбно.
Вот сравнение, которое поможет вам принять решение:
| Критерий | Pi-hole | AdGuard Home |
|---|---|---|
| Интерфейс управления | Простой, но выглядит как утилитарный софт 2010-х годов. | Современный, удобный, с графиками и понятными меню. |
| Сложность настройки | Немного выше. Требует настройки блокировщика рекламы и списков угроз отдельно. | Ниже. Включил, выбрал списки, работает. |
| Шифрование DNS | Требует установки плагина или ручной настройки для DoT/DoH. | Встроено в ядро, включается одной галочкой. |
| Блокировка фишинга | Требует подключения внешних списков (например, PhishTank). | Имеет встроенные списки угроз, легко добавлять свои. |
| Ресурсы сервера | Работает на «старом кофемолке», потребляет минимум RAM. | Требует чуть больше памяти, но работает быстрее. |
Если у вас есть старый слабый сервер (например, Raspberry Pi 1 или 2) — выбирайте Pi-hole. Если устройство достаточно мощное (Raspberry Pi 3/4, старый ноутбук, NAS) — берите AdGuard Home, с ним меньше возни.
Что нужно для запуска
Вам не нужно быть хакером. Для установки вам понадобится:
- Сервер. Это может быть Raspberry Pi, старый ноутбук, домашний сервер на Linux (Ubuntu/Debian) или даже виртуальная машина. Альтернатива: некоторые современные роутеры (например, ASUS с прошивкой Merlin или Keenetic) позволяют установить это прямо на роутер.
- Операционная система Linux. Чаще всего используют Debian или Ubuntu Server (без графической оболочки).
- Подключенные устройства. Компьютеры, телефоны, умный телевизор — всё, что вы хотите защитить.
Важный момент: сервер должен быть всегда включен. Если вы выключите компьютер, на котором крутится фильтрация, интернет на всех устройствах продолжит работать, но блокировка исчезнет.
Пошаговая установка и настройка защиты
Давайте разберем процесс на примере AdGuard Home, так как он проще для старта. Если вы выбрали Pi-hole, логика та же, но команды установки будут другими.
Шаг 1. Подготовка сервера
Установите Linux на выбранное устройство. Если у вас Raspberry Pi, скачайте образ Raspberry Pi OS Lite. После установки подключите устройство к сети кабелем (Wi-Fi не рекомендуется для сервера DNS, чтобы не было потерь пакетов).
Зайдите в терминал под пользователем root или sudo. Вам нужно убедиться, что система обновлена:
sudo apt update && sudo apt upgrade -y
Шаг 2. Установка AdGuard Home
Авторы программы предоставляют удобный скрипт. Вы можете скачать его и запустить одной командой. Это автоматически скачает нужные файлы, создаст пользователя и настроит сервисы.
curl -sSf https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/install.sh | sh
После завершения установки скрипт покажет IP-адрес, по которому вы можете зайти в панель управления.
Шаг 3. Первоначальная настройка
Откройте браузер на любом компьютере в сети и введите этот IP-адрес (например, http://192.168.1.50). Вас встретит мастер установки:
- Настройка портов. Оставьте стандартные (Web-интерфейс на 80, DNS на 53). Если у вас уже стоит другой DNS-сервер, возможно, придется менять порты, но лучше этого избегать.
- Настройка пользователей. Придумайте логин и пароль. Это вход в панель управления.
Шаг 4. Подключение списков угроз (Самый важный шаг)
Сама по себе программа ничего не блокирует, пока вы не скажете ей, что блокировать. По умолчанию она блокирует рекламу. Для защиты от фишинга нужно добавить специальные списки.
Перейдите в раздел Настройки -> Фильтрация DNS-содержимого -> Списки блокировки. Вам нужно добавить ссылки на репозитории, которые собирают базы фишинговых сайтов.
Вот надежные источники (это открытые данные, которые поддерживают энтузиасты):
- PhishTank: Одна из самых больших коллекций активных фишинговых ссылок.
- StevenBlack/hosts: Универсальный хостфайл, блокирующий и рекламу, и вредоносные домены.
- Custom Blacklists: Если вы знаете про конкретный мошеннический сайт, добавьте его вручную.
После добавления ссылок нажмите кнопку «Обновить» или подождите автоматической синхронизации. Теперь ваш сервер знает, что fake-bank-login.ru — это зло.
Шаг 5. Настройка роутера (Включает защиту для всех)
Сейчас ваш компьютер, на котором стоит программа, защищен. Но ваш телефон в Wi-Fi пока не защищен. Чтобы включить защиту для всей сети, нужно перенастроить роутер.
Зайдите в настройки вашего роутера (обычно это 192.168.0.1 или 192.168.1.1). Найдите раздел Интернет или WAN -> DNS-сервер. По умолчанию там указаны адреса вашего провайдера (например, 8.8.8.8 или 1.1.1.1). Измените их на IP-адрес вашего нового сервера (того самого, где стоит AdGuard/Pi-hole).
Сохраните настройки. Роутер перезагрузится. Теперь все устройства, подключающиеся к этому Wi-Fi, будут использовать вашу фильтрацию.
Что делать, если блокирует не то (Проблема ложных срабатываний)
Иногда случается, что ваш щит работает слишком агрессивно. Вы пытаетесь зайти на сайт, а он не открывается. Это называется «ложное срабатывание».
В панели управления AdGuard Home или Pi-hole есть раздел Журнал запросов (Query Log). Там видно, что именно заблокировано. Если вы видите, что заблокирован домен, который вы хотели открыть (например, сайт банка, который действительно легитимный, но попал в черный список по ошибке), вы можете добавить его в Белый список (Allowlist).
Это делается в пару кликов: вбиваете домен в белый список, и он разблокируется для всех пользователей сети.
Частые ошибки новичков
Даже опытные пользователи иногда допускают ошибки, которые делают защиту бесполезной. Вот на что обратить внимание:
Ошибка 1: Игнорирование шифрования DNS.
Если вы просто настроили локальный DNS, но не включили шифрование (DNS-over-TLS/HTTPS) до выхода в интернет, ваш провайдер видит, куда вы ходите. Провайдер может подменять ответы DNS или перенаправлять вас на свои страницы. В AdGuard Home включите эту функцию в разделе «Настройки DNS» -> «Использовать DNS-over-TLS/HTTPS». Это зашифрует ваш запрос к корневому серверу, и провайдер не сможет вас обмануть.
Ошибка 2: Использование статического IP только для сервера, но не для клиентов.
Если ваш сервер (Raspberry Pi) получит новый IP-адрес после перезагрузки (например, по DHCP от роутера), а роутер будет указывать старый, фильтрация отключится. Решение: зайдите в настройки роутера и закрепите (сделайте статический IP-адрес) для устройства с Pi-hole/AdGuard.
Ошибка 3: Игнорирование IPv6.
Современные провайдеры часто выдают и IPv4, и IPv6. Если вы настроили фильтрацию только для IPv4, а устройство уходит в интернет через IPv6, блокировка не сработает. В настройках AdGuard Home убедитесь, что они поддерживают и прослушивают IPv6, либо отключите IPv6 на роутере, если он не используется.
Сценарии использования: как выбрать правильную стратегию
В зависимости от ваших целей, подход к настройке будет отличаться. Разберем три типичных ситуации.
Сценарий 1: «Я хочу просто защитить семью от случайных ссылок».
Вам не нужно усложнять. Выберите AdGuard Home. Установите его на любой старый ноутбук или Raspberry Pi. Включите стандартные списки блокировки. Настройте роутер на использование этого сервера. Включите защиту от подмены DNS. Этого достаточно, чтобы 95% фишинговых ссылок просто не открывались.
Сценарий 2: «У меня умный дом и IoT-устройства».
Здесь сложнее. Умные лампочки и чайники часто используют домены для сбора данных. Жесткая блокировка может их отключить. Используйте Pi-hole с его детальными группами устройств. Создайте группу «Smart Home» и поставьте её в белый список для перечисленных доменов, но оставьте жесткую блокировку для телефонов детей и ноутбуков. Так вы защитите людей, но не сломаете гаджеты.
Сценарий 3: «Офис с чувствительными данными».
В офисе нельзя рисковать. Одного Pi-hole мало. Вам нужно настроить AdGuard Home с включенным DNS-over-HTTPS (DoH) со строгими настройками. Кроме того, подключите дополнительные списки угроз от корпоративных провайдеров (если бюджет позволяет) или используйте кастомные списки. Обязательно настройте логирование и отправку алертов на почту, если кто-то попытался зайти на фишинговый ресурс — это сигнал о том, что сотрудник мог получить вредоносное письмо.
Как проверить, что всё работает?
После настройки нужно убедиться, что система жива. Не стоит ждать, пока кто-то кликнет на фишинговую ссылку.
1. Зайдите на тестовый сайт http://test.dns (или используйте специальные тестовые домены, которые используются разработчиками для проверки работы DNS, например, pi-hole.net для Pi-hole).
2. Попробуйте зайти на сайт, который, как вы знаете, заблокирован (например, известный тестовый вредоносный домен, используемый в бизнес-тренингах, или просто домен из вашего черного списка).
3. Откройте панель управления DNS-сервера. Вы должны видеть, что запросы от ваших устройств идут на этот сервер, а заблокированные запросы помечены как «Blocked».
Если вы видите в логах, что запросы уходят на другие DNS-серверы (например, 8.8.8.8), это значит, что какое-то устройство в сети настроило у себя жесткий DNS и обходит вашу защиту. Напишите им или настройте принудительный DNS на роутере.
Итог: просто, эффективно, надежно
Настройка DNS-фильтрации — это, пожалуй, лучшее вложение времени в домашнюю безопасность. Это не требует установки антивирусов на каждое устройство, не съедает ресурсы батареи ноутбука и работает даже на старых телефонах.
Главный принцип здесь — превентивность. Вы не ждете, пока вирус проникнет в систему, а не даете ему даже появиться на экране. AdGuard Home или Pi-hole становятся вашим личным шлюзом безопасности.
Если вы только начинаете, не усложняйте. Возьмите AdGuard Home, поставьте на Raspberry Pi, подключите к роутеру и добавьте пару списков угроз. Это займет у вас около часа. Зато вы получите защиту для всех устройств в доме, которая будет работать 24/7, даже когда вы спите.
Информация в этой статье носит ознакомительный характер. Настройка сетевого оборудования требует ответственности, так как ошибки в конфигурации могут привести к потере доступа к интернету. При работе с критически важными данными рекомендуется консультироваться со специалистами по информационной безопасности.
