DNS-blockering: Testa och verifiera att ditt skydd fungerar

För en djupare genomgång, se Pirateproxys rekommendationer.

Validera din DNS-blockering: praktisk testguide för att verifiera skyddet fungerar

När du implementerar DNS-baserad blockering hemma eller på jobbet räcker det inte att aktivera funktionen och anta att det fungerar. Eftersom DNS-blockering kan kringgås relativt enkelt — genom att byta DNS-server, använda VPN eller DNS-over-HTTPS — måste du aktivt verifiera att ditt skydd faktiskt är på plats och fungerar korrekt. Denna guide tar dig genom konkreta testmetoder för att bekräfta att din DNS-filtrering gör vad den ska.

Steg 1: Kartlägg din DNS-setup innan du börjar

Innan du testar något måste du veta exakt hur DNS är konfigurerat i din miljö.

Checklista för kartläggning:

• Identifiera vilken DNS-server du använder (molnbaserad filtrering som Cloudflare Gateway, Pi-hole, eller Cisco Umbrella?)
• Notera om DNS-över-HTTPS (DoH) eller DNS-över-TLS (DoT) är aktiverat — detta påverkar testmetoder
• Kontrollera om alla enheter på nätverket dirigeras genom samma DNS eller om vissa har egna inställningar
• Dokumentera vilka kategorier som är blockerade (malware, vuxeninnehål, spel, sociala medier osv.)

Öppna en terminal och kör nslookup google.com eller dig google.com för att se vilket DNS-svar du får. Notera IP-adressen — du kan jämföra detta senare.

Steg 2: Testa basblockering med enkla domäner

Den enklaste testen är att försöka nå en domän som borde blockeras enligt din regel.

Så gör du:

1. Välj en känd blockerad domän. Om du blockerar vuxeninnehål, använd en testdomän från blockeringslistan (många filter-leverantörer publicerar test-URLer)
2. Öppna webbläsaren och försök besöka domänen
3. Du bör se ett feltmeddelande eller omdirigering, INTE den faktiska webbplatsen
4. Om sidan öppnas normalt = blockeringen fungerar inte för denna domän

Testa minst 3-5 blockerade domäner från olika kategorier för att bekräfta coverage.

Steg 3: Verifiera DNS-svar på kommandorad

Detta är det mest tillförlitliga testet eftersom det går förbi webbläsarens cache och proxy.

Linux/Mac/Windows PowerShell:

nslookup example-blocked-domain.com

Du bör få ett svar som pekar på en blockerings-IP (ofta 0.0.0.0, 127.0.0.1 eller en särskild sinkhole-IP från din leverantör). Om du får ett normalt svar som pekar på webbplatsens faktiska IP = blockeringen misslyckades.

Jämför två resultat:

• nslookup google.com (borde ge ett normalt svar)
• nslookup <blockerad-domän> (borde ge sinkhole-IP eller NXDOMAIN)

Steg 4: Testa DNS-över-HTTPS (DoH) och DNS-över-TLS (DoT)

Om du har aktiverat DoH/DoT för säkerhet måste du verifiera att denna trafik också går genom din filtrering. Många användare tror DoH är "säkerare" utan att inse att den kan kringgå sitt eget DNS-filter.

Testa DoH-kompatibilitet:

• Använd en webbplats som kontrollerar din DoH-server (t.ex. 1.1.1.1/help eller dns.google/)
• Om den visar en annan DNS-server än vad du konfigurerade = DoH-bypass detekterad
• Aktivera tvingande DNS-dirigering på routern för port 53 och 853 för att förhindra detta

Steg 5: Identifiera och blockera DNS-bypass-tekniker

Detta är det kritiska steget för att förhindra att dina regler kringgås.

Checklista för bypass-kontroll:

• VPN-tester: Kör en VPN-tjänst och bekräfta att DNS-DNS fortfarande är blockerat (om inte uttryckligt undantaget)
• Proxy-tester: Försök nå en blockerad domän genom en proxy-server — den bör misslyckas om proxy-trafiken går genom din DNS
• Alternativ DNS: Testa vad som händer om en enhet byter till 8.8.8.8 eller 1.1.1.1 — bör den blockeras av routern?
• DoH-bypass: Installera en lokal DoH-klient på en testdator och se om den kan nå blockerade webbplatser

De flesta moderna routrar kan tvinga DNS-dirigering via port 53 — aktivera detta för att blockera manuella DNS-byten.

Steg 6: Automatisera regelbundna tester

Manuell testning är bra en gång, men DNS-filter kan gå sönder utan varning.

Skapa en enkel testautomation:

• Använd ett skript som testar 5-10 representativa blockerade domäner dagligen
• Dokumentera resultaten i en logg
• Om ett test misslyckas får du en varning (e-post eller push-notifikation)

Exempel på bash-skript:

bash
for domain in blocked1.com blocked2.com blocked3.com; do
  result=$(nslookup $domain | grep -i "sinkhole-ip")
  if [ -z "$result" ]; then
    echo "VARNING: $domain blockerades inte!"
  fi
done

## Steg 7: Testa användarupplevelsen under restriktioner

Slutlig test: bekräfta att de avsedda användarna (barn, anställda) verkligen stöter på blockeringen utan att kunna kringgå den lätt.

**Praktisk checklista:**
- Låt en testperson försöka nå en blockerad webbplats — se vilken feedback de får
- Är felmeddelandet tillräckligt tydligt eller förvirrande?
- Finns det en appealprocess om något blockerades felaktigt?
- Kan användaren installera egen VPN/proxy utan begränsningar?

Om du hittar workarounds här är det dags att skärpa säkerheten (tvingande DNS, proxy-block, osv.).

## Checklista: DNS-blockering är verifierad när...

- [ ] Minst 5 testdomäner blockeras konsekvent
- [ ] Kommandoradstester visar korrekt sinkhole-IP eller NXDOMAIN
- [ ] DoH/DoT-klienter dirigeras genom filtret eller är blockerade
- [ ] Manuell DNS-byte (8.8.8.8) kan förhindras via routerkonfiguration
- [ ] VPN-testning bekräftar att DNS fortfarande filtreras
- [ ] Automatiserad testning är på plats och rapporterar dagligt
- [ ] Användarfeedback bekräftar att blockering är märkbar men inte helt omöjlig att rapportera

Denna systematic approach säkerställer att din DNS-filtrering inte bara är *konfigurerad* utan faktiskt *fungerar* mot de hot och begränsningar du avsåg att implementera.

Läs vidare: [Teamet på Pirateproxy](https://pirateproxy.se/artiklar/dns-blockering-forklarat).

---

👉 [Pirateproxys rekommendationer](https://pirateproxy.se/artiklar/dns-blockering-forklarat)