DNS обычно вспоминают, когда интернет вроде есть, а сайты открываются странно: один грузится, другой нет, третий ведет на подозрительную страницу. На самом деле DNS участвует почти в каждом заходе на сайт. Вы вводите адрес, а DNS подсказывает устройству, к какому IP-адресу идти.
Яндекс DNS предлагает заменить стандартные DNS-серверы провайдера на серверы Яндекса. Сервис бесплатный и работает в трех режимах: без фильтрации, с блокировкой опасных сайтов и с дополнительной семейной фильтрацией. Для дома это простой способ убрать часть мусора на уровне сети. Для бизнеса – базовая защита рабочих мест, если не хочется начинать сразу с тяжелых корпоративных шлюзов.
Важно сразу не ждать от DNS невозможного. Яндекс DNS не заменяет антивирус, EDR, межсетевой экран, прокси, DLP и нормальную настройку прав. Он не анализирует содержимое страницы после загрузки и не чинит уже зараженный компьютер. Зато DNS может остановить переход на известный опасный домен до того, как браузер успеет открыть сайт.
Как работает Яндекс DNS и какие режимы выбрать
У Яндекс DNS есть три режима. В режиме «Базовый» запросы уходят на DNS-серверы Яндекса без дополнительной фильтрации. В режиме «Безопасный» сервис блокирует опасные сайты, мошеннические ресурсы и связь с управляющими серверами ботнетов. В режиме «Семейный» добавляется фильтрация взрослого контента, рекламы для взрослых и включается семейный поиск Яндекса.
Для дома выбор обычно простой. На личном ноутбуке или роутере можно включить «Безопасный» режим. Если сетью пользуются дети, логичнее выбрать «Семейный». Для бизнеса чаще подходит «Безопасный»: он меньше вмешивается в обычную работу, но закрывает часть фишинговых и вредоносных переходов.
Адреса лучше держать под рукой, потому что именно их придется вводить в настройках роутера, Windows, macOS, Linux или мобильного устройства.
| Режим | Основной IPv4 | Дополнительный IPv4 | Что фильтрует |
|---|---|---|---|
| «Базовый» | 77.88.8.8 | 77.88.8.1 | Без блокировок, обычный рекурсивный DNS. |
| «Безопасный» | 77.88.8.88 | 77.88.8.2 | Опасные сайты, мошеннические ресурсы, ботнеты. |
| «Семейный» | 77.88.8.7 | 77.88.8.3 | Все из безопасного режима плюс взрослый контент и семейный поиск. |
Есть и IPv6-адреса. Для «Базового» режима используются 2a02:6b8::feed:0ff и 2a02:6b8:0:1::feed:0ff. Для «Безопасного» – 2a02:6b8::feed:bad и 2a02:6b8:0:1::feed:bad. Для «Семейного» – 2a02:6b8::feed:a11 и 2a02:6b8:0:1::feed:a11.
Как настроить дома: роутер, Windows и Android
Самый удобный вариант для дома – настроить DNS на роутере. Тогда новые правила получают все устройства в сети: ноутбуки, телефоны, телевизор, игровая приставка. Не нужно отдельно идти в настройки каждого гаджета. Минус тоже понятный: все устройства получают один общий режим, если роутер не умеет назначать разные профили отдельным клиентам.
На многих роутерах нужные поля лежат в разделе интернета или локальной сети. У ASUS Яндекс DNS может быть встроен в интерфейс: в разделе «Родительский контроль» есть пункт «Яндекс.DNS», где можно включить сервис и выбрать профиль фильтрации. Если встроенного пункта нет, адреса вводятся вручную в настройках DNS WAN.
Для роутера порядок обычно такой:
- Открыть веб-интерфейс роутера через адрес вроде 192.168.1.1 или 192.168.0.1.
- Найти раздел «Интернет», «WAN», «DNS», «DHCP» или «Локальная сеть».
- Отключить автоматическое получение DNS, если роутер не дает ввести адреса вручную.
- Ввести основной и дополнительный IPv4 для нужного режима.
- Сохранить настройки и перезагрузить подключение или сам роутер.
На Windows 11 можно настроить не только обычный DNS, но и DNS over HTTPS. В настройках нужно открыть «Пуск» – «Параметры» – «Сеть и Интернет», выбрать Wi-Fi или Ethernet, открыть свойства подключения и нажать «Изменить» в разделе «Назначение сервера DNS». После этого включается «Вручную», выбирается IPv4 и вводятся адреса нужного режима.
Для шифрования в Windows 11 используются параметры «Только незашифрованные», «Только зашифрованные (DNS поверх HTTPS)» или «Зашифрованный предпочтительно, незашифрованный». Если выбираете DoH, в поле «DNS по протоколу HTTPS» нужен ручной шаблон.
| Режим | DoH-шаблон | DoT-имя для Android |
|---|---|---|
| «Базовый» | https://common.dot.dns.yandex.net/dns-query | common.dot.dns.yandex.net |
| «Безопасный» | https://safe.dot.dns.yandex.net/dns-query | safe.dot.dns.yandex.net |
| «Семейный» | https://family.dot.dns.yandex.net/dns-query | family.dot.dns.yandex.net |
На Android удобнее использовать DoT через «Персональный DNS-сервер». Путь зависит от оболочки, но чаще всего настройка лежит в «Настройки» – «Сеть и Интернет» или «Подключения» – «Другие настройки» – «Персональный DNS-сервер». Нужно выбрать «Имя хоста провайдера персонального DNS-сервера» и ввести доменное имя нужного режима, например safe.dot.dns.yandex.net.
Как настроить Яндекс DNS в бизнесе
В небольшой компании Яндекс DNS можно включить почти так же, как дома: на офисном роутере, шлюзе или DHCP-сервере. Разница в том, что настройки лучше не менять вслепую для всех сразу. Если в офисе есть банк-клиенты, CRM, старые внутренние порталы, онлайн-кассы или нестандартные облачные сервисы, сначала стоит проверить работу на небольшой группе компьютеров.
Для офиса чаще всего выбирают режим «Безопасный». Он блокирует опасные и мошеннические сайты, но не трогает взрослый контент так широко, как «Семейный». Семейная фильтрация может быть уместна в школах, детских пространствах, учебных классах или гостевых сетях, но в обычном офисе ее лучше включать только после проверки.
В бизнесе важно развести две разные задачи. Яндекс DNS помогает фильтровать DNS-запросы пользователей. Yandex Cloud DNS нужен для управления DNS-зонами и доменными именами ресурсов в Yandex Cloud. Это не один и тот же инструмент. Если нужно защитить офисных пользователей от опасных доменов, смотрите Яндекс DNS. Если нужно управлять зонами, записями, внутренними именами в VPC и доменами облачных ресурсов, нужен Yandex Cloud DNS.
Рабочий план для офиса лучше оформить как небольшой чек-лист:
- Проверить, где сейчас выдаются DNS-адреса: роутер, DHCP-сервер, контроллер домена, шлюз или MDM.
- Выбрать режим «Безопасный» для рабочих мест и отдельно решить вопрос с гостевой сетью.
- Проверить критичные сервисы: банк, ЭДО, кассы, CRM, VPN, внутренние порталы, облачные кабинеты.
- Описать, кто имеет право менять DNS-настройки на роутере и рабочих станциях.
- Сохранить старые DNS-адреса провайдера или внутреннего резолвера на случай отката.
- Проверить, не ломает ли DoH в браузерах корпоративную фильтрацию и журналирование.
Последний пункт часто забывают. Если в компании уже есть свой DNS, прокси или журналирование запросов, включенный в браузере DoH может отправлять запросы мимо привычного пути. Это не всегда плохо, но лучше заранее понимать, где теперь видны DNS-запросы и кто отвечает за расследование инцидентов.
Что Яндекс DNS дает, а чего не дает
Яндекс DNS хорош как простой первый слой защиты. Его можно включить на роутере за несколько минут, не ставить агент на каждое устройство и не покупать лицензию. Для дома это особенно удобно: включили «Семейный» режим на роутере, и часть нежелательных сайтов перестала открываться на всех устройствах в Wi-Fi.
Но DNS-фильтрация не видит весь контент страницы. Если вредоносный файл лежит на ранее неизвестном домене или на легитимном сервисе, DNS может не помочь. Если пользователь подключился к чужому VPN, включил другой DoH в браузере или прописал свои DNS вручную, правила тоже могут обойти. Поэтому в компании DNS лучше считать не финальной защитой, а дополнительным уровнем.
| Что нужно | Подойдет ли Яндекс DNS | Комментарий |
|---|---|---|
| Быстро включить защиту дома | Да | Настройка на роутере защитит всю домашнюю сеть. |
| Ограничить взрослый контент для детей | Да | Для этого нужен режим «Семейный». |
| Снизить риск фишинга в офисе | Частично | Режим «Безопасный» поможет с известными опасными доменами, но не заменит обучение и защиту почты. |
| Получать подробные отчеты по пользователям | Нет | Публичный Яндекс DNS не дает полноценную корпоративную аналитику по сотрудникам. |
| Управлять DNS-зонами домена | Нет | Для зон и записей нужен Yandex Cloud DNS или другой DNS-хостинг. |
| Заменить EDR, DLP или прокси | Нет | DNS-фильтрация закрывает только часть рисков. |
Практические советы перед включением
Для дома я бы начинала с роутера. Так проще понять, подходит ли фильтрация всей семье. Если после включения какой-то нужный сайт не открывается, можно временно вернуться на старые DNS или попробовать другой режим. Для отдельных устройств, например детского планшета, удобнее настроить Android через «Персональный DNS-сервер».
Для бизнеса лучше начать с пилотной группы. Выберите несколько рабочих мест из разных отделов, включите режим «Безопасный» и проверьте обычный день: почта, документы, CRM, банки, ЭДО, внутренние сервисы, VPN. Если проблем нет, настройку можно переносить на весь офис через роутер, DHCP или групповые политики.
Еще один момент – кэш DNS. После смены серверов старые ответы могут какое-то время жить в системе, браузере или роутере. Если проверяете результат сразу, имеет смысл перезапустить браузер, переподключить сеть или очистить DNS-кэш. На Windows для этого часто используют команду ipconfig /flushdns в командной строке от имени администратора.
- Для дома: сначала роутер, потом отдельные устройства с особыми правилами.
- Для детских устройств: режим «Семейный» и настройка на уровне роутера или Android.
- Для офиса: сначала пилотная группа, потом DHCP или шлюз.
- Для компаний со своим DNS: не заменять внутренний резолвер без проверки зависимостей.
- Для инфраструктуры в Yandex Cloud: не путать Яндекс DNS с Yandex Cloud DNS.
Итог
Яндекс DNS подходит тем, кто хочет быстро добавить фильтрацию на уровне DNS без сложной установки. Дома чаще всего хватает режима «Семейный» на роутере или «Персонального DNS-сервера» на Android. Для личного ноутбука с Windows 11 можно включить DoH и использовать зашифрованные DNS-запросы.
В бизнесе Яндекс DNS полезен как простая защита от части опасных доменов, особенно для небольшого офиса, гостевой сети или рабочих мест без сложной инфраструктуры. В крупной компании его лучше внедрять аккуратно: через пилот, с учетом внутреннего DNS, журналирования, прокси, VPN и требований ИБ.
Если нужна фильтрация запросов пользователей, смотрите Яндекс DNS. Если нужно управлять зонами, доменными именами и ресурсными записями для облачной инфраструктуры, нужен Yandex Cloud DNS. Названия похожи, задачи разные, и путать их перед настройкой не стоит.
Какой режим Яндекс DNS выбрать для дома?
Для обычной домашней сети чаще всего подходит режим «Семейный», если интернетом пользуются дети, или «Безопасный», если нужна только защита от опасных и мошеннических сайтов.
Что лучше настроить: роутер или отдельное устройство?
Роутер удобнее, если нужно применить правила ко всей домашней или офисной сети. Настройка на отдельном устройстве подходит, если разные устройства должны работать с разными режимами.
Поддерживает ли Яндекс DNS DoH и DoT?
Да. Для DoH используются HTTPS-шаблоны вида https://safe.dot.dns.yandex.net/dns-query, для DoT на Android указывается имя хоста вроде safe.dot.dns.yandex.net.
Можно ли использовать Яндекс DNS в компании?
Да, но лучше начать с пилотной группы и проверить критичные сервисы. Для офиса обычно подходит режим «Безопасный», а режим «Семейный» лучше оставлять для учебных классов, детских пространств или гостевых сетей.
Яндекс DNS и Yandex Cloud DNS – одно и то же?
Нет. Яндекс DNS фильтрует DNS-запросы пользователей и помогает блокировать опасные или нежелательные сайты. Yandex Cloud DNS нужен для управления DNS-зонами и ресурсными записями в облачной инфраструктуре.
