IOS 14, mobileconfig, DNS через HTTPS с поддержкой белого списка DNSDomainMatch

IOS 14, mobileconfig, DNS через HTTPS с поддержкой белого списка DNSDomainMatch ⇐ IOS

1 сообщение • Страница 1 из 1

Anonymous

IOS 14, mobileconfig, DNS через HTTPS с поддержкой белого списка DNSDomainMatch

Цитата

Сообщение Anonymous » 08 мар 2026, 09:44

Я запускаю собственный DNS через https-сервер. Я хочу, чтобы большинство DNS-запросов проходило через него, но любые запросы от доменов/поддоменов «apple.com», «icloud.com» обходили мой сервер DOH и просто использовали для этого DNS телефона по умолчанию.
Я создал профиль .mobileconfig, как показано ниже (я заменил URL-адрес сервера doh и URL-адрес зонда):

Код: Выделить всё




PayloadContent


Name
DOH
PayloadDescription
DOH
PayloadDisplayName
DNS over HTTPS
PayloadIdentifier
com.apple.dnsSettings.managed.AFCA1444-5AEB-44CD-B23D-5D2B5ADCD1EE
PayloadType
com.apple.dnsSettings.managed
PayloadUUID
8E3D6F57-0EB4-4C89-A068-2D6EF5FAC976
PayloadVersion
1
DNSSettings

DNSProtocol
HTTPS
ServerURL
https://dns.google/dns-query
ServerName
doh-test

OnDemandRules


Action
Disconnect
DNSDomainMatch

*.apple.com
*.icloud.com



Action
Connect
URLStringProbe
https://google.com


Action
Disconnect




PayloadDescription
DNS over Https
PayloadDisplayName
DNS over HTTPs
PayloadIdentifier
com.cam.me.8A4244E4-7802-46D9-9BA9-06EA71975740
PayloadRemovalDisallowed

PayloadType
Configuration
PayloadUUID
2066753F-6CD2-43CE-AA24-C26C4F656B71
PayloadVersion
1

Однако журналы моего сервера DOH по-прежнему показывают тонны запросов, поступающих с доменов *.apple.com и *.icloud.com. Проведя некоторое тестирование, я не могу сказать, внесен ли он в белый список.
См. документацию по адресу https://developer.apple.com/documentati ... leselement. В документации DNSDomainMatch указано (добавлено жирным шрифтом):

Массив доменных имен. Это правило применяется, если какое-либо из доменных имен в указанном списке соответствует любому домену в списке поисковых доменов устройства.
Поддерживается один префикс подстановочного знака *, но он не является обязательным. Например, *.example.com и example.com совпадают с mydomain.example.com и your.domain.example.com, но не совпадают с mydomain-example.com.

Я пробовал варианты подстановочного знака, и, похоже, это не имеет никакого значения. Возможно, я неправильно понимаю: что означает список поисковых доменов устройства?
Есть ли другой способ внести в белый список определенные домены с помощью mobileconfig? Я также пытался использовать NeverConnect ActionParameters, но он тоже не работает.

Подробнее здесь: https://stackoverflow.com/questions/640 ... st-support

1772952263

Anonymous

Я запускаю собственный DNS через https-сервер.  Я хочу, чтобы большинство DNS-запросов проходило через него, но любые запросы от доменов/поддоменов «apple.com», «icloud.com» обходили мой сервер DOH и просто использовали для этого DNS телефона по умолчанию.
Я создал профиль .mobileconfig, как показано ниже (я заменил URL-адрес сервера doh и URL-адрес зонда):
[code]



PayloadContent


Name
DOH
PayloadDescription
DOH
PayloadDisplayName
DNS over HTTPS
PayloadIdentifier
com.apple.dnsSettings.managed.AFCA1444-5AEB-44CD-B23D-5D2B5ADCD1EE
PayloadType
com.apple.dnsSettings.managed
PayloadUUID
8E3D6F57-0EB4-4C89-A068-2D6EF5FAC976
PayloadVersion
1
DNSSettings

DNSProtocol
HTTPS
ServerURL
https://dns.google/dns-query
ServerName
doh-test

OnDemandRules


Action
Disconnect
DNSDomainMatch

*.apple.com
*.icloud.com



Action
Connect
URLStringProbe
https://google.com


Action
Disconnect




PayloadDescription
DNS over Https
PayloadDisplayName
DNS over HTTPs
PayloadIdentifier
com.cam.me.8A4244E4-7802-46D9-9BA9-06EA71975740
PayloadRemovalDisallowed

PayloadType
Configuration
PayloadUUID
2066753F-6CD2-43CE-AA24-C26C4F656B71
PayloadVersion
1


[/code]
Однако журналы моего сервера DOH по-прежнему показывают тонны запросов, поступающих с доменов *.apple.com и *.icloud.com.  Проведя некоторое тестирование, я не могу сказать, внесен ли он в белый список.
См. документацию по адресу https://developer.apple.com/documentation/devicemanagement/dnssettings/ondemandruleselement.  В документации DNSDomainMatch указано (добавлено жирным шрифтом):

Массив доменных имен. Это правило применяется, если какое-либо из доменных имен в указанном списке соответствует любому домену в [b]списке поисковых доменов устройства[/b].
Поддерживается один префикс подстановочного знака *, но он не является обязательным. Например, *.example.com и example.com совпадают с mydomain.example.com и your.domain.example.com, но не совпадают с mydomain-example.com.

Я пробовал варианты подстановочного знака, и, похоже, это не имеет никакого значения.  Возможно, я неправильно понимаю: что означает список поисковых доменов устройства?
Есть ли другой способ внести в белый список определенные домены с помощью mobileconfig?  Я также пытался использовать NeverConnect ActionParameters, но он тоже не работает. 

Подробнее здесь: [url]https://stackoverflow.com/questions/64053593/ios-14-mobileconfig-dns-over-https-with-dnsdomainmatch-whitelist-support[/url]