Родительский контроль часто начинают с приложения на телефоне ребёнка, хотя домашняя сеть давно не ограничивается одним смартфоном. В интернет выходят ноутбук, планшет, телевизор, игровая приставка, старый телефон на кухне и браузер в гостевом профиле. Про лишние устройства родители обычно вспоминают после странных запросов в истории поиска.
В этой статье важен не сам DNS, а фильтрация доменов на уровне домашней сети. Семейный DNS не отдаёт настоящий адрес сайта, если домен относится к взрослому контенту, фишингу, вредоносным страницам или другим нежелательным категориям. Для пользователя сайт заканчивается ошибкой, заглушкой или пустым ответом.
Через роутер фильтр получает вся домашняя сеть: Wi-Fi, кабельные подключения, Smart TV, приставки и старые планшеты. Базовую настройку роутера уже подробно разбирали в отдельной инструкции: пароль администратора, шифрование Wi-Fi, обновление прошивки и отключение лишних функций лучше привести в порядок до включения семейного DNS. Подробный разбор есть в материале про настройку роутера.
Что реально даёт родительский контроль через DNS
Семейный DNS работает грубо, но полезно: сервис смотрит на домен и сверяет адрес с категориями. Если сайт относится к взрослому контенту, фишингу, вредоносным страницам, части прокси или азартным играм, запрос блокируется до загрузки страницы. Такой подход хорошо отсекает случайные переходы, рекламные редиректы и подозрительные ссылки из чатов.
DNS-фильтр не разбирает конкретную страницу, ролик, комментарии, личные сообщения или рекомендации внутри приложения. Если нежелательный материал находится на крупной платформе рядом с обычным контентом, DNS сможет заблокировать весь домен целиком или не сработает вовсе. Например, DNS не наведёт порядок в рекомендациях YouTube, переписках в мессенджерах, игровых чатах и лентах соцсетей.
Для младшего школьника, семейного планшета и Smart TV базовой блокировки уже достаточно, чтобы убрать заметную часть случайных переходов. Для подростка одного DNS мало. VPN, прокси, браузерный DNS-over-HTTPS, мобильный интернет и ручная смена DNS выводят запросы мимо домашнего роутера. Поэтому семейный DNS стоит считать первым уровнем защиты, а не полноценной системой родительского контроля.
Часть сервисов пытается принудительно включать безопасный поиск и ограниченный режим на поддерживаемых платформах. Результат зависит от DNS-провайдера, поисковика, приложения и способа подключения. Если нужен контроль YouTube, магазинов приложений, экранного времени и установки программ, придётся подключать настройки самой платформы и детские учётные записи.
Какой семейный DNS выбрать
Для домашней настройки подойдут публичные DNS-сервисы с готовым семейным режимом. Cloudflare for Families даёт простую блокировку без аккаунта, AdGuard DNS Family добавляет отсечение рекламы и трекеров, CleanBrowsing Family предлагает более строгую фильтрацию, а OpenDNS FamilyShield подходит для базовой блокировки взрослых сайтов.
Выбор сервиса зависит от жёсткости правил. Для простой блокировки взрослых сайтов без аккаунта подойдёт Cloudflare for Families. Для семейной фильтрации вместе с блокировкой части рекламы и трекеров можно выбрать AdGuard DNS Family. Для более строгого режима стоит посмотреть CleanBrowsing Family Filter. OpenDNS FamilyShield пригодится для базовой схемы без тонких категорий.
| Сервис | Что блокирует | IPv4 | IPv6 | Когда выбирать |
|---|---|---|---|---|
| Cloudflare for Families | Вредоносные сайты, фишинг, взрослый контент в семейном режиме | 1.1.1.3 1.0.0.3 | 2606:4700:4700::1113 2606:4700:4700::1003 | Быстрый старт без аккаунта и профилей |
| AdGuard DNS Family | Реклама, трекеры, вредоносные сайты, взрослый контент, Safe Search где возможно | 94.140.14.15 94.140.15.16 | 2a10:50c0::bad1:ff 2a10:50c0::bad2:ff | Семейная фильтрация вместе с отсечением части рекламы |
| CleanBrowsing Family Filter | Взрослый контент, вредоносные и фишинговые домены, часть прокси и VPN-доменов, принудительный SafeSearch где поддерживается | 185.228.168.168 185.228.169.168 | 2a0d:2a00:1:: 2a0d:2a00:2:: | Более строгий семейный режим |
| OpenDNS FamilyShield | Домены, которые сервис относит к взрослому контенту | 208.67.222.123 208.67.220.123 | Для FamilyShield обычно указывают IPv4. Если в домашней сети включён IPv6, актуальные параметры лучше проверить в документации Cisco/OpenDNS | Простая преднастроенная схема без ручных категорий |
Если дома есть рабочие ноутбуки, банковские приложения, умные телевизоры и игровые сервисы, начните с менее строгой блокировки и проверьте работу сети несколько дней. Слишком агрессивные правила быстро создают бытовую техподдержку: один сайт не открывается, второе приложение ругается на сеть, а виноватым внезапно становится роутер.
Разные правила для устройств удобнее делать через личный DNS-профиль, AdGuard Home, NextDNS, Control D, Pi-hole с внешними списками или функции самого роутера. Публичный семейный DNS без аккаунта хорош простотой, но почти не даёт исключений, журналов и отдельных профилей для младшего ребёнка, подростка и рабочих устройств родителей. Роутеры с OpenWrt уже разбирали отдельно, для продвинутых схем пригодится материал про модели с поддержкой OpenWrt.
Как настроить DNS-фильтр на роутере и устройствах
Все домашние устройства получают DNS-адреса автоматически через DHCP, поэтому настройка на роутере избавляет от ручной правки каждого гаджета. Названия пунктов отличаются у Keenetic, TP-Link, ASUS, MikroTik, OpenWrt и операторских роутеров, но порядок действий похож: открыть веб-интерфейс, найти DNS в параметрах интернета или локальной сети, заменить адреса провайдера на семейные и сохранить конфигурацию.
- Откройте адрес роутера в браузере. Чаще всего используют 192.168.0.1, 192.168.1.1 или адрес с наклейки на корпусе.
- Войдите в панель администратора и найдите раздел WAN, Интернет, DHCP, DNS или Домашняя сеть.
- Отключите автоматическое получение DNS от провайдера, если роутер предлагает ручной режим.
- Введите основной и резервный DNS выбранного семейного сервиса.
- Добавьте IPv6 DNS, если провайдер выдал IPv6 и роутер поддерживает такую настройку.
- Сохраните изменения, перезапустите подключение или сам роутер.
- Отключите и снова подключите Wi-Fi на детских устройствах, чтобы гаджеты получили новые параметры.
Проверьте два раздела роутера: WAN и DHCP. Некоторые модели позволяют указать DNS в настройках интернета, но отдельно раздают клиентам DNS через DHCP. В такой схеме роутер сам обращается к семейному DNS, а детские устройства продолжают получать старый DNS провайдера. Если панель управления не открывается, эту проблему уже разбирали в инструкции про вход в 192.168.0.1.
IPv6 может обойти фильтр, если роутер раздаёт клиентам отдельные DNS-серверы. Если выбранный сервис поддерживает IPv6, пропишите соответствующие адреса. Если роутер не умеет раздавать IPv6 DNS, временное отключение IPv6 закрывает часть обходов, но перед изменением лучше проверить настройки конкретной модели и провайдера.
На Android настройку можно продублировать через Частный DNS: family.cloudflare-dns.com для Cloudflare Family, family.adguard-dns.com для AdGuard Family или family-filter-dns.cleanbrowsing.org для CleanBrowsing Family. В поле вводят имя хоста, а не IP-адрес. Саму механику Private DNS, DoH и DoT уже подробно разбирали в материале про Private DNS на Android, поэтому здесь достаточно указать семейные адреса.
На iPhone и iPad ручной DNS задаётся для конкретной Wi-Fi-сети. Для мобильного интернета обычно нужен DNS-профиль от выбранного сервиса, системное Экранное время или приложение родительского контроля. Случайные DNS-профили из форумов лучше не устанавливать: профиль может менять сетевое поведение устройства и отправлять запросы через неизвестного посредника.
Где DNS не поможет и как проверить результат
DNS-фильтр не управляет контентом внутри крупных платформ. Если ребёнок смотрит ролики на YouTube, переписывается в мессенджере или играет в онлайн-игру с чатом, DNS видит только домен сервиса, а не конкретный ролик, сообщение или собеседника. Для таких задач нужны настройки самой платформы, системный родительский контроль и ограничения учётной записи.
Домашний DNS не контролирует мобильный интернет. Телефон, который ушёл с Wi-Fi на LTE или 5G, больше не пользуется правилами роутера. VPN, прокси, Tor Browser, игровые ускорители и некоторые корпоративные клиенты тоже могут увести DNS-запросы и трафик мимо домашней сети. Если в сети уже используется VPN, стоит отдельно разобраться с маршрутизацией и DNS. Выборочный роутинг уже обсуждали в статье про Split Tunneling на домашнем роутере.
Браузеры тоже требуют проверки. Chrome, Edge, Firefox и часть мобильных браузеров умеют отправлять DNS-запросы через DNS-over-HTTPS напрямую к выбранному резолверу. Для детского профиля лучше выбрать системного поставщика DNS или указать семейный DNS-over-HTTPS, если сервис поддерживает такой вариант. Если браузер использует другой DoH-сервер, правила роутера могут не сработать.
Безопасность Wi-Fi влияет на родительский контроль сильнее, чем кажется. Слабый пароль, включённый WPS и доступ к админке роутера дают простой путь к смене настроек. WPS лучше отключить, особенно если роутер старый или давно не получал обновления. Почему кнопка быстрого подключения создаёт лишние риски, уже разбирали в статье про уязвимости WPS.
После настройки проверьте фильтр через диагностические страницы выбранного сервиса, а не через случайные сайты из поисковой выдачи. У Cloudflare есть тестовые домены malware.testcategory.com и nudity.testcategory.com. Если семейный режим включён правильно, тестовый домен из запрещённой категории не должен открываться. У CleanBrowsing, AdGuard и OpenDNS тоже есть собственные страницы проверки.
Если после смены DNS перестал открываться нужный сайт, сначала проверьте сетевые настройки, а не отключайте фильтр целиком. Посмотрите, какой DNS получил компьютер, очистите DNS-кэш, перезапустите браузер, временно смените сервис, проверьте IPv6 и отключите сторонний DoH в браузере. На Windows подойдёт команда ipconfig /all, на macOS и Linux можно использовать сетевые настройки или nslookup example.com.
Рабочий минимум для дома: семейный DNS на роутере, IPv6 без обхода фильтра, Частный DNS на Android, DNS-профиль или Экранное время на iOS, детская учётная запись без прав администратора, проверенный DoH в браузерах и гостевая сеть с теми же правилами. Отдельный Wi-Fi для гостей и умного дома уже подробно разбирался в материале про гостевую сеть Wi-Fi.
Можно ли обойти родительский контроль через DNS?
Да. VPN, прокси, Tor Browser, мобильный интернет, ручная смена DNS и отдельный DNS-over-HTTPS в браузере могут обойти правила роутера. Поэтому DNS-фильтр нужен вместе с ограничением прав пользователя и контролем установки приложений.
Блокирует ли DNS-фильтр YouTube?
DNS может заблокировать домен целиком, но не выбирает отдельные ролики, комментарии или рекомендации внутри платформы. Для YouTube нужны настройки аккаунта, ограниченный режим, детский профиль и контроль приложения.
Работает ли семейный DNS на мобильном интернете?
Настройка на домашнем роутере работает только в домашней сети. Для мобильного интернета нужен системный родительский контроль, DNS-профиль от выбранного сервиса или приложение, которое управляет сетевыми настройками телефона.
Нужно ли менять DNS на каждом устройстве?
Если DNS задан на роутере, домашние устройства получают правила автоматически. Отдельная настройка нужна для смартфонов вне домашнего Wi-Fi, ноутбуков с ручными сетевыми параметрами и браузеров с включённым DNS-over-HTTPS.
Какой DNS выбрать для первой настройки?
Для простой блокировки взрослых сайтов без аккаунта подойдёт Cloudflare for Families. Для семейной фильтрации вместе с блокировкой части рекламы и трекеров можно выбрать AdGuard DNS Family. Для более строгого режима стоит посмотреть CleanBrowsing Family Filter.
DNS-фильтрация не должна превращаться в тайную слежку. Лучше объяснить ребёнку, какие категории закрыты и зачем нужны ограничения. Честное правило работает лучше внезапной блокировки всего подряд: меньше конфликтов, меньше желания искать обходы, больше шансов, что ребёнок сам покажет странную ссылку или пугающую страницу.
