chrome のセキュアDNSを使わせない
ブロックするIPv4は次の通りになる。
$ dig public.dns.iij.jp +short 103.2.57.6 103.2.57.5 $ dig +short dns.google 8.8.8.8 8.8.4.4 $ dig +short doh.opendns.com 146.112.41.2 $ dig +short security.cloudflare-dns.com 1.1.1.2 1.0.0.2 $ dig +short family.cloudflare-dns.com 1.1.1.3 1.0.0.3 $ dig +short doh.cleanbrowsing.org 185.228.168.10 185.228.168.168
このあたりの名前解決と通信を止めればいい良さそう、DNSは無数にあるのですべて止めるのは不可能だと思いますが、さすがに「選択しない」ものを「ググって使う」ようなら見込みがあるのである。
公開されたDoHサーバーは無数にあるがまともに動くメジャーなものは少ない。パブリックなDoH/DoSのドメイン一覧をそのうち誰かが作ってくれると思う。
v6だとどうするのか
v6アドレスでも固有は固有なので、ブロックすれば済むはず
IPベースブロックめんどくさいとき
これらのドメイン名をローカルDNSリゾルバに突っ込んで、レコードなしを返してやる。同時に家から外へのDNS/53の通信を全部ブロックして、家庭内リゾルバを経由させる。
この設定が面倒なとき、ルーターにadguardを入れれば大変に楽です。ただし、OpenWrtのちっちゃい容量だとAdguard homeは辛いかも
