Bonjour, j'ai un réseau familial derrière mon OPNsense (v23.7) et je cherche à bloquer ChatNow sur tous les appareils de la maison. Le truc c'est que mon gamin de 14 ans y passe ses soirées entières, et visiblement c'est un service de chat en ligne ou de rencontre, franchement je connais pas trop mais sa me paraît pas top pour son âge.
J'ai essayé la méthode classique, j'ai ajouté le domaine dans le DNS Blackhole via le resolver Unbound, mais le problème c'est que ChatNow semble passer par des CDN un peu partout et le blocage par domaine tient pas complètement. Genre sur mobile ça bloque, mais sur le PC du salon ça passe encore par moments, j'arrive pas à comprendre pourquoi. J'ai aussi regardé du côté du plugin Sensei (Sunny Valley Networks) qui est intégré à OPNsense, qui permet de faire du filtrage applicatif plus poussé. Quelqu'un a déjà utilisé sa catégorisation pour bloquer ce type de plateforme ? Je sais pas si ChatNow est référencé dans leur base de données ou si faut créer une règle custom. Sinon j'ai pensé à bloquer carrément les plages d'IP du service via des alias dynamiques, mais j'ai peur que ce soit ingérable sur le long terme si les IP changent. L'autre option que j'envisage c'est passer par pfBlockerNG... oh attendez non, ça c'est pfsense, je me mélange les pinceaux. Sur OPNsense y'a un équivalent viable ou pas ?
Les navigateurs modernes ne résolvent souvent plus les noms de domaine via le résolveur DNS du système, reçu par DHCP, mais utilisent plutôt DoT (DNS over TLS) ou DoH (DNS over HTTPS). Cela contourne effectivement OPNsense.
Malheureusement, bloquer DoH reviendrait à jeter le bébé avec l'eau du bain, car cela ne serait possible qu'en bloquant entièrement le port 443, ce qui empêcherait pratiquement tout le trafic Web de fonctionner.
Ce que l'on peut faire, en revanche, c'est utiliser des listes de blocage DNS contenant les services DoH connus. Je recommande notamment la liste HaGeZi DoH, qui couvre un grand nombre de fournisseurs DoH connus. Il faut ensuite désactiver DoH dans le navigateur afin qu'il utilise à nouveau le DNS classique. Dans ce cas, les autres règles de blocage DNS que tu as configurées fonctionneront également.
Bien entendu, tout cela ne sert à rien si l'on utilise un VPN.
P.S.: En règle générale, tu obtiendras davantage de réponses en publiant sur les forums anglophones. S'il existe une solution, davantage de personnes seront également en mesure de la comprendre et de t'aider.