dns нуллс прокси
dns нуллс прокси
DNS нуллс прокси: как не попасть в ловушку «безопасного» интернета
dns нуллс прокси — термин, который всё чаще мелькает в русскоязычных обсуждениях о конфиденциальности. Но за этой фразой скрывается не просто набор настроек, а целая система защиты от слежки, цензуры и утечек. В этом материале разберём, почему обычный DNS-прокси — это лишь полумера, как правильно организовать трафик через доверенные серверы и что делать, если ваш провайдер (скажем, Ростелеком или МТС) внедряет DPI для перехвата запросов.
Почему «нульс» — не маркетинг, а техническая необходимость
«Нульс» в контексте DNS означает null route — принудительное отбрасывание DNS-запросов к нежелательным или опасным доменам. Это не блокировка по IP, а именно перенаправление в никуда на уровне маршрутизации. Такие правила часто применяются в корпоративных сетях для предотвращения фишинга или доступа к ботнет-контроллерам.
Однако когда пользователь ищет «dns нуллс прокси», он обычно имеет в виду объединение двух технологий:
- DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT) — шифрование DNS-трафика.
- Прокси-сервер с правилами null-routing — чтобы даже при компрометации DNS-резолвера запросы к трекерам или аналитике не уходили наружу.
Без этого сочетания вы остаётесь уязвимы к:
- DNS-утечкам, когда ваш клиент игнорирует настройки VPN и отправляет запросы напрямую провайдеру;
- WebRTC-утечкам, раскрывающим реальный IP даже при активном туннеле;
- Атакам Man-in-the-Middle, особенно в публичных Wi-Fi кафе, где злоумышленник может подменить DNS-ответ.
Пример из жизни: вы подключились к бесплатному Wi-Fi в аэропорту Домодедово. Через 30 секунд ваш браузер делает фоновый запрос к
analytics.adtech.ru. Если DNS не зашифрован и не фильтруется через nulls-прокси — этот запрос уйдёт в открытом виде. А значит, ваш профиль уже в базе рекламной сети.
Чего вам НЕ говорят в других гайдах
Большинство статей уверяют: «Установите любой VPN — и вы в безопасности». Это опасное упрощение. Вот что скрывают:
Бесплатные «DNS-прокси» — это сборщики данных
Многие сервисы, позиционирующие себя как «бесплатный dns нуллс прокси», на деле:
- Логируют все ваши запросы (даже если заявляют обратное);
- Продают агрегированные данные маркетплейсам;
- Используют ваш трафик для P2P-ретрансляции (как Hola VPN, превратившийся в ботнет).
Стоимость аренды одного выделенного сервера с 1 Гбит/с — от $80/мес. Если сервис бесплатный, вы — продукт.
Fake kill switch: как обмануть пользователя
Некоторые приложения имитируют работу kill switch (аварийного отключения интернета при разрыве туннеля), но на самом деле:
- Не блокируют трафик на уровне ядра ОС;
- Не работают при перезагрузке роутера;
- Игнорируют IPv6-трафик, оставляя «дыру» для утечки.
Проверить можно так: отключите Wi-Fi во время загрузки торрента. Если клиент продолжает раздавать — kill switch фейковый.
Юрисдикция 14 Eyes = риск по первому запросу
Даже если у провайдера «no-log policy», но он зарегистрирован в США, Великобритании, Канаде или Австралии — он обязан выдать данные по запросу спецслужб без решения суда. Особенно это актуально после инцидентов 2023–2025 годов, когда несколько «анонимных» VPN передали логи по запросу Europol.
Поддельные аудиты безопасности
Некоторые компании публикуют «независимые аудиты», но:
- Текст аудита не содержит даты проверки;
- Фирма-аудитор не указана;
- Проверялась только маркетинговая часть, а не ядро протокола.
Настоящие аудиты — от Cure53, Quarkslab, NCC Group — всегда публикуются в открытом доступе с цифровой подписью.
Как работает настоящий dns нуллс прокси: технические детали
Чтобы система работала, нужны три компонента:
| Компонент | Функция | Пример реализации |
|---|---|---|
| Шифрованный DNS-резолвер | Защита от прослушивания | Cloudflare DoH (1.1.1.1), AdGuard DNS (dns.adguard.com) |
| Null-routing rules | Блокировка запросов к трекерам | ip route add blackhole 104.18.25.15 или nft add rule ip filter output ip daddr 104.18.25.15 drop |
| VPN с DNS leak protection | Гарантия, что весь трафик идёт через туннель | WireGuard с AllowedIPs = 0.0.0.0/0, ::/0 и отключённым IPv6 |
Протоколы: что выбрать?
- WireGuard: минимальный код (≈4 000 строк), шифрование ChaCha20 + Poly1305, пинг +5–10 мс, скорость до 97% от канала. Но требует ручной настройки DNS-фильтрации.
- OpenVPN: зрелый, поддерживает TLS 1.3, perfect forward secrecy, но медленнее (до 85% скорости). Хорошо работает с split tunneling.
- IKEv2/IPsec: быстрый переподбор при смене сети (идеален для мобильных), но сложен в настройке на роутерах.
Важно: даже WireGuard не блокирует DNS-утечки автоматически. Вы должны явно указать
DNS = 1.1.1.1в конфиге или использовать сторонний резолвер с null-routing.
Сценарии использования в реальных условиях (RU)
- Журналист в командировке
Вы в Екатеринбурге, используете общественный Wi-Fi в бизнес-центре. Без dns нуллс прокси:
- Ваш Telegram-клиент может отправить метаданные через незашифрованный DNS;
- Браузер загрузит скрипты аналитики, раскрыв ваш интерес к оппозиционным СМИ.
Решение: WireGuard + DoH + список блокировки от OISD (Optimized IDN & Spam Domains).
- IT-специалист в кофейне
Подключились к сети «Кофемания» через MacBook. macOS иногда игнорирует настройки DNS в пользу mDNSResponder. Результат — утечка запросов к внутренним доменам компании.
Фикс: отключить mDNS через sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist + настроить dnscrypt-proxy с null-routing.
- Пользователь торрентов
Вы качаете легальный open-source софт через qBittorrent. Без kill switch и DNS-фильтрации:
- При обрыве туннеля ваш IP уходит в сеть;
- Трекеры получают запросы напрямую от провайдера.
Защита: OpenVPN с --block-outside-dns + iptables-правила на отбрасывание всего, кроме трафика к торрент-трекерам через туннель.
- Обход блокировок мессенджеров
В 2024 году Роскомнадзор усилил блокировки через DPI. Простой HTTPS-прокси не спасает — трафик распознаётся по сигнатурам.
Решение: Shadowsocks + obfs4 + dns нуллс прокси на стороне клиента. Это усложняет анализ трафика до уровня «обычного шума».
Сравнение реальных решений (2026 год)
| Сервис | Юрисдикция | No-log? | Поддержка DoH/DoT | Null-routing | Цена (мес.) | Реальная скорость (100 Мбит/с канал) |
|---|---|---|---|---|---|---|
| Mullvad | Швеция | Да (аудит 2025) | Через WireGuard + внешний резолвер | Нет (требуется ручная настройка) | 1 100 ₽ | 94 Мбит/с |
| IVPN | Гибралтар | Да (Cure53, 2024) | Встроен DoH | Через split tunneling | 1 300 ₽ | 91 Мбит/с |
| ProtonVPN | Швейцария | Да | Встроен DoT | Нет | Бесплатно / 1 500 ₽ | 78 Мбит/с (бесплатный), 93 Мбит/с (платный) |
| RusVPN | Россия | Нет (по закону обязан хранить логи 1 год) | Нет | Нет | 400 ₽ | 62 Мбит/с |
| Самостоятельная сборка (WireGuard + AdGuard Home) | Любая (ваш VPS) | Полный контроль | Да | Да (через блэклисты) | От $5 (VPS) | До 97 Мбит/с |
Примечание: российские VPN-провайдеры не могут гарантировать анонимность — они обязаны передавать данные по запросу ФСБ. Использование таких сервисов для обхода блокировок запрещено законом № 149-ФЗ.
Настройка dns нуллс прокси на роутере (Keenetic/Asus/OpenWrt)
- Установите Entware (Keenetic) или Merlin (Asus).
- Запустите
dnsmasqс опциейserver=1.1.1.1#cloudflare-dns.com. - Добавьте в
/jffs/configs/dnsmasq.conf.addстроки:
address=/doubleclick.net/0.0.0.0 address=/adservice.google.com/0.0.0.0 server=1.1.1.1 - Настройте WireGuard с
AllowedIPs = 0.0.0.0/0. - Добавьте в firewall правило:
bash iptables -A OUTPUT ! -o wg0 -m state --state NEW -j DROP - Перезапустите службы:
powershell net stop "DNS Client" net start "DNS Client"
Проверка утечек: зайдите на ipleak.net и browserleaks.com/webrtc. Убедитесь, что:
- DNS-сервер совпадает с вашим резолвером;
- WebRTC не показывает локальный IP;
- IPv6 отключён или тоже маршрутизируется через туннель.
Вывод
dns нуллс прокси — это не волшебная таблетка, а многослойная защита, сочетающая шифрование DNS, принудительную маршрутизацию и блокировку вредоносных доменов. Без всех трёх компонентов вы остаётесь уязвимы даже при использовании дорогого VPN. Особенно в условиях российской инфраструктуры, где провайдеры активно внедряют DPI и обязаны хранить логи. Настоящая безопасность начинается с понимания: никакой сервис не заменит осознанную настройку собственной системы. Если вы ищете «dns нуллс прокси» — вы уже на полпути к контролю над своим трафиком. Осталось только правильно собрать пазл.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расстояния до сервера. WireGuard добавляет 5–15 мс пинга и снижает скорость на 3–8%. OpenVPN — до 20 мс и 10–15% потерь. На 100 Мбит/с это 85–97 Мбит/с в реальности.
Меня найдёт спецслужба при использовании VPN?
Если вы используете сервис из юрисдикции 14 Eyes и он хранит логи — да, по запросу. Если же вы используете no-log провайдера вне этой зоны (например, Швейцария, Панама) и не оставляете цифровых следов (логины, платежи картой) — шансы стремятся к нулю.
WireGuard или OpenVPN — что безопаснее?
Оба безопасны при правильной настройке. WireGuard новее, быстрее и проще для аудита. OpenVPN поддерживает больше опций (TLS-crypt, perfect forward secrecy) и лучше работает в сетях с ограничениями. Для большинства пользователей WireGuard — оптимальный выбор.
Можно ли обойтись без VPN, используя только dns нуллс прокси?
Нет. DNS-прокси шифрует только доменные запросы, но не весь трафик. Ваш IP, содержимое сайтов, торрент-активность — всё остаётся видимым провайдеру. Это как закрыть глаза и думать, что вас не видно.
Как проверить, не утекает ли мой DNS?
Зайдите на ipleak.net. Если в разделе «DNS Leak Test» отображаются IP вашего провайдера (например, Ростелеком) — утечка есть. Должен быть только IP вашего VPN или доверенного резолвера (1.1.1.1, 8.8.8.8 и т.п.).
Бесплатные DNS-сервисы (1.1.1.1, 8.8.8.8) — это безопасно?
Для большинства задач — да. Cloudflare и Google заявляют политику no-log (Cloudflare — 24 часа, Google — агрегация без привязки к IP). Но они не блокируют трекеры. Для полной защиты нужен ещё уровень null-routing или Pi-hole в связке с DoH.
One thing I liked here is the focus on support and help center. The step-by-step flow is easy to follow. Overall, very useful.