Расширенные (низкоуровневые) настройки
В этой статье рассказывается об AdGuard для Windows — многофункциональном блокировщике рекламы, который защищает ваше устройство на системном уровне. Чтобы увидеть, как он работает, скачайте приложение AdGuard
Ранее известные как низкоуровневые настройки, расширенные настройки содержат параметры, которые выходят за рамки компетенции среднего пользователя и не находят применения в повседневном использовании. AdGuard для Windows функционирует без необходимости изменять любой из низкоуровневых параметров. Однако они предоставляют дополнительные возможности в некоторых сложных ситуациях или при решении нестандартных проблем.
Изменение Расширенных настроек может вызвать проблемы с производительностью AdGuard, нарушить подключение к интернету или поставить под угрозу вашу безопасность и конфиденциальность. Вносить изменения в эти настройки следует только в том случае, если вы уверены в том, что делаете, или если об этом вас попросила наша служба поддержки.
Как перейти к Расширенным настройкам
Чтобы попасть в Расширенные настройки, на главном экране откройте Настройки → Основные настройки и прокрутите вниз до Расширенных настроек. Или выберите Расширенные → Расширенные настройки... в трей-меню.
Расширенные настройки
После того как вы откроете Расширенные настройки, вам будут представлены следующие опции:
Блокировать TCP Fast Open
Если эта функция включена, AdGuard будет блокировать TCP Fast Open в браузере Edge. Чтобы применить настройки, необходимо перезапустить браузер.
Использовать Encrypted Client Hello
У каждого зашифрованного интернет-соединения есть незашифрованная часть. Это самый первый пакет, который содержит имя сервера, к которому вы подключаетесь. Технология Encrypted Client Hello должна решить эту проблему и зашифровать последний бит незашифрованной информации. Чтобы воспользоваться ей, включите опцию Использовать Encrypted Client Hello. Она использует локальный DNS-прокси для поиска ECH-конфигурации для домена. Если она найдена, пакет Client Hello будет зашифрован.
Проверять прозрачность сертификатов сайтов
Проверяет подлинность всех сертификатов для домена на основе политики прозрачности сертификатов Chrome. Если сертификат не соответствует политике прозрачности сертификатов Chrome, AdGuard не будет фильтровать сайт. Chrome, в свою очередь, будет блокировать его.
Включить проверку отзыва сертификатов SSL/TLS
Если эта опция включена, она запускает асинхронные проверки OCSP, чтобы проверить, не отозван ли SSL/TLS-сертификат сайта.
Если проверка OCSP завершается в течение минимального тайм-аута, AdGuard немедленно заблокирует соединение, если сертификат отозван, или установит соединение, если сертификат действителен.
Если проверка занимает слишком много времени, AdGuard установит соединение и продолжит проверку в фоновом режиме. Если сертификат отозван, текущие и будущие подключения к домену будут заблокированы.
Показывать AdGuard VPN в настройках
Эта опция позволяет отобразить вкладку AdGuard VPN в Настройках, чтобы приложение и сайт продукта было удобно открывать.
Исключите приложение из фильтрации, введя полный путь
Если вы хотите, чтобы AdGuard не фильтровал конкретные приложения, укажите полный путь к ним, и приложения будут исключены из фильтрации. Разделите разные пути точкой с запятой.
Включить всплывающие уведомления AdGuard
Включите эту функцию, чтобы видеть всплывающие уведомления AdGuard. Они появляются не слишком часто и содержат только важную информацию. Вы также можете использовать трей-меню, чтобы вызвать последнее всплывающее уведомление.
Автоматически перехватывать URL-адрес фильтра
Включите эту функцию, если вы хотите, чтобы AdGuard автоматически перехватывал URL фильтра (например, abp:subscribe
и т.п.) и открывал диалог установки пользовательского фильтра.
Фильтровать HTTP/3
Если эта настройка включена, AdGuard будет фильтровать запросы, отправленные по протоколу HTTP/3, в дополнение к другим типам запросов.
Использовать драйвер в режиме перенаправления
Если эта опция включена, AdGuard перехватывает весь трафик и перенаправляет его на локальный прокси-сервер для дальнейшей фильтрации.
В противном случае AdGuard будет фильтровать весь трафик на лету, без перенаправления. При этом система будет считать AdGuard единственным приложением, которое подключается к интернету (другие приложения будут направляться через него). Минусом является то, что это сделает системный брандмауэр менее эффективным. А плюсом — то, что этот подход работает немного быстрее.
Открывать главное окно при запуске системы
Включите эту опцию, чтобы главное окно AdGuard открывалось при каждом запуске системы. Обратите внимание, что эта настройка не влияет на то, запущена ли реальная фильтрация или нет. Она находится в разделе Настройки → Общие настройки.
Включать фильтрацию при запуске системы
Начиная с версии 7.12, служба AdGuard по умолчанию не фильтрует трафик после запуска ОС, если отключена опция «Запускать AdGuard при старте системы». Другими словами, служба AdGuard запускается в режиме «ожидания». Включите эту опцию, чтобы AdGuard фильтровал трафик, даже если приложение не запущено.
До версии 7.12 сервис AdGuard по умолчанию запускался в режиме фильтрации, даже если опция Запускать AdGuard при старте системы была отключена. Если вас устраивало прежнее поведение, включите эту опцию.
Фильтровать локальные адреса
Если вы хотите, чтобы AdGuard фильтровал соединения loopback, установите флажок. Эта опция всегда будет включена, если у вас установлен AdGuard VPN, потому что в противном случае он не сможет работать.
Не фильтровать указанные диапазоны IP-адресов
Если вы не хотите, чтобы AdGuard фильтровал определённые подсети, включите эту функцию и укажите IP-диапазоны в нотации CIDR (например, 98.51.100.14/24) в разделе IP-диапазоны, исключённые из фильтрации ниже.
Включить запись HAR
Эта опция должна быть включена только в целях отладки. Если включить эту опцию, AdGuard создаст файл в формате HAR 1.2 с информацией обо всех отфильтрованных HTTP-запросах. Этот файл можно проанализировать с помощью приложения Fiddler. Обратите внимание, что это может значительно замедлить просмотр веб-страниц.
Добавлять пробел к обычному HTTP-запросу
Добавляет дополнительный пробел между методом HTTP и URL и удаляет пробел после поля «Host:», чтобы избежать «глубокую проверку пакетов». Например, правило
GET /foo/bar/ HTTP/1.1
Host: example.org
будет преобразовано в
GET /foo/bar/ HTTP/1.1
Host: example.org
Эта настройка применяется только в том случае, если в режиме Антитрекинг включён параметр Защищать от DPI.
Настроить размер фрагментации начального пакета TLS
Определяет размер фрагментации пакетов TCP, позволяющий избежать глубокой проверки пакетов. Этот параметр влияет только на защищённый трафик (HTTPS).
Если эта опция включена, AdGuard разбивает начальный TLS-пакет (пакет Client Hello) на две части: первая имеет указанную длину, а вторая — остаток, вплоть до длины всего начального TLS-пакета.
Допустимые значения: 1–1500. Если указан недопустимый размер, будет использоваться значение, установленное системой. Эта настройка применяется только в том случае, если в режиме Антитрекинг включён параметр Защищать от DPI.
Размер фрагмента обычного HTTP-запроса
Настраивает размер фрагментации HTTP-запроса. Этот параметр влияет только на обычный HTTP-трафик. Если эта опция включена, AdGuard разбивает начальный пакет на две части: первая имеет указанную длину, а вторая — остаток, вплоть до длины всего исходного пакета.
Допустимые значения: 1–1500. Если указан недопустимый размер, будет использоваться значение, установленное системой. Эта настройка применяется только в том случае, если в режиме Антитрекинг включён параметр Защищать от DPI.
Показывать QUIC
Позволяет отображать записи протокола QUIC в отчёте журнала фильтрации. Эта опция работает только для заблокированных запросов.
Включить поддержку активности TCP
Периодически отправляет TCP-пакеты по неактивному соединению, чтобы убедиться в его работоспособности и продлить время ожидания NAT. Эта опция может быть полезна для обхода строгих настроек трансляции сетевых адресов (NAT), которые используют некоторые провайдеры.
Интервал проверки активности TCP
Здесь вы можете указать период простоя в секундах перед проверкой активности. Если указано 0, будет использоваться значение, установленное системой.
Этот параметр работает только в том случае, если включена опция Включить проверку активности TCP.
Тайм-аут ожидания TCP
Здесь вы можете указать время в секундах, прежде чем отправить ещё одну проверку активности не отвечающему узлу. Если указано 0, будет использоваться значение, установленное системой.
Этот параметр работает только в том случае, если включена опция Включить проверку активности TCP.
Блокировать Java
Некоторые сайты и веб-сервисы до сих пор используют устаревшие технологии поддержки Java-плагинов. API-интерфейс, лежащий в основе Java-плагинов, небезопасен. Вы можете отключить такие плагины в целях безопасности. Тем не менее, даже если вы решите использовать опцию Блокировать Java, JavaScript будет по-прежнему включён.
Время ожидания ответа DNS-сервера
В этом поле вы можете указать время в миллисекундах, в течение которого AdGuard будет ждать ответа от выбранного DNS-сервера, прежде чем прибегнуть к резервному. Если вы не заполните это поле или введёте недопустимое значение, будет использовано значение 5000.
Использовать HTTP/3 для DNS-over-HTTPS
Включает HTTP/3 для upstream-серверов DNS-over-HTTPS для ускорения соединения, если выбранный upstream поддерживает этот протокол. Включение данной опции не гарантирует, что все DNS-запросы будут отправляться через HTTP/3.
Использовать резервные upstream DNS-серверы
Обычные запросы будут перенаправлены в резервный upstream-сервер, если все DNS-запросы к выбранным upstream-серверам будут неудачными.
Выполнять запросы к upstream DNS-серверам параллельно
Все upstream-серверы будут запрашиваться параллельно, и будет возвращён первый ответ. Поскольку DNS-запросы выполняются параллельно, включение этой функции увеличивает скорость интернета.
Всегда отвечать на неудачные DNS-запросы
Если разрешение адресов не удалось на каждом из перенаправленных upstream-серверов, а также на резервных доменах, то ответом на DNS-запрос будет SERVFAIL
.
Включить фильтрацию зашифрованных DNS-запросов
Помимо незашифрованных DNS-запросов, AdGuard будет перенаправлять на локальный DNS-прокси зашифрованные.
Режим блокировки для правил hosts
Здесь вы можете выбрать, как AdGuard будет реагировать на домены, заблокированные DNS-правилами на основе синтаксиса правил hosts.
- Ответ ошибкой «Refused»
- Ответ ошибкой «NxDomain»
- Ответ пользовательским IP-адресом
Режим блокировки для правил adblock
Здесь вы можете выбрать, как AdGuard будет реагировать на домены, заблокированные DNS-правилами на основе синтаксиса по примеру блокировщиков.
- Ответ ошибкой «Refused»
- Ответ ошибкой «NxDomain»
- Ответ пользовательским IP-адресом
Пользовательский IPv4-адрес
Если для «Режима блокировки для правил hosts» или «Режима блокировки для правил adblock» выбран пользовательский IP-адрес, он будет возвращён в ответ на заблокированные запросы А. Если он не указан, AdGuard ответит ошибкой «Refused» по умолчанию.
Пользовательский IPv6-адрес
Если для «Режима блокировки для правил hosts» или «Режима блокировки для правил adblock» выбран пользовательский IP-адрес, он будет возвращён в ответ на заблокированные запросы АAAA. Если он не указан, AdGuard ответит ошибкой «Refused» по умолчанию.
Резервные (fallback) серверы
Здесь вы можете указать альтернативный DNS-сервер, на который будет перенаправлен DNS-запрос, если основной сервер не ответит в течение времени ожидания, указанного в следующем разделе. Есть три варианта на выбор:
- Не использовать резервные серверы;
- Использовать системные серверы;
- Использовать пользовательские серверы.
Блокировать ECH
Если опция включена, AdGuard удаляет из ответов параметры Encrypted Client Hello.
Список пользовательских резервных (fallback) серверов
Если вы хотите, чтобы AdGuard использовал пользовательские fallback-серверы, перечислите их в этом разделе, по одному в строке.
Список пользовательских bootstrap-адресов
Bootstrap — это промежуточный DNS-сервер, используемый для получения IP-адреса безопасного DNS-сервера, который вы выбрали ранее в разделе DNS-защита. Такое «промежуточное звено» нужно при использовании протоколов, которые обозначают адрес сервера буквами (например, DNS-over-TLS). В этом случае bootstrap выступает в роли переводчика, трансформируя буквы в цифры, понятные вашей системе.
По умолчанию используется системный DNS-резолвер, а первоначальный bootstrap-запрос идёт через 53 порт. Если вас это не устраивает, перечислите здесь IP-адреса DNS-серверов, которые будут использоваться для определения адреса зашифрованного DNS-сервера. Указанные IP-адреса будут применены в порядке перечисления. Если вы укажете некорректные адреса или не укажете их вовсе, будут использованы системные IP-адреса.
DNS-исключения
Все DNS-запросы к перечисленным здесь доменам будут перенаправляться на системный DNS-сервер вместо DNS-сервера, указанного в настройках приложения. Также к таким запросам не будут применяться правила DNS-фильтрации.
Исключить указанные сети Wi-Fi (SSID) из DNS-фильтрации
DNS-защита не распространяется на сети Wi-Fi, перечисленные в этом разделе. Укажите сети Wi-Fi (SSID) по одной в строке. Это может быть полезно, если конкретная сеть Wi-Fi уже защищена AdGuard Home или другой системой DNS-защиты. В этом случае не нужно снова фильтровать DNS-запросы.