Коротко — полного «чудо‑решения без компромиссов» нет: чтобы жёстко и централизованно остановить фоновую утечку трафика придётся сочетать меру на устройстве и меры на уровне сети/роутера. Ниже — практические варианты, инструменты, их сильные и слабые стороны, и конкретные шаги для вашей задачи.
1) Android — есть ли NetLimiter‑уровень без root?
- Что реально можно сделать без root:
- Блокировать/разрешать трафик по приложению (вход/выход) — да, через «локальный VPN»‑файрволы.
- Фильтровать домены/рекламу/трекеры — да, через DNS‑фильтрацию (локальный VPN или внешняя DNS).
- Ограничивать полосу (throttling) на уровне отдельного приложения — практически нет без root (нужен доступ к системным сетевым стекам / tc/iptables).
- Популярные инструменты (без root):
- NetGuard (Open Source) — локальный VPN, простое per‑app block/allow, поддерживает списки хостов/правила. Хорош для блокировки фоновых соединений, но не для тонкого shaping’а.
- AdGuard для Android (платная часть) — локальный VPN + DNS‑фильтрация + блокировка доменов/трекеров; умеет «разрешать»/«блокировать» per‑app. Один из самых надёжных вариантов без root.
- Blokada — DNS‑блокировка через локальный VPN, лёгкий интерфейс, ориентирован на блокировку рекламы/трекеров.
- NoRoot Firewall — старый, но простой per‑app firewall через VPN API.
- Root‑варианты (более мощные):
- AFWall+ — iptables, granular control (требует root).
- hosts (замена hosts‑файла) — блокировка доменов на системном уровне (root).
- Вывод: без root вы получите гибкую блокировку соединений по приложению и по доменам, но не полноценное ограничение скорости/формирование трафика для каждого приложения. Для «NetLimiter‑like» (контроль + throttle) нужен root или сетевой уровень (см. пункт 3).
2) Насколько эффективны VPN/локальные firewall и какие инструменты реально работают?
- Идея: локальный VPN (VPN API на Android) перехватывает трафик внутри устройства и может блокировать/перенаправлять запросы. Это эффективный и практичный метод для блокировки фоновых соединений и DNS‑фильтрации без root.
- Ограничения/подводные камни:
- Локальный VPN работает в пользовательском пространстве — небольшие накладные расходы, но большинство приложений нормально пропадают через него.
- Некоторые приложения используют собственные методы (прямые IP, шифрованные каналы с pinning, DoH/DoT) — локальный VPN может блокировать соединения по IP/порт/домену, но не всегда дешифрует HTTPS для более детальной фильтрации (и это требует MITM и сертификатов).
- Некоторые системные/вендорные сервисы могут обходить локальный VPN (редко) или конфликтовать с ним (например, другой полноценный VPN).
- Конкретные рабочие инструменты:
- NetGuard / AdGuard / Blokada — на практике эффективно блокируют фоновые соединения и домены; просты в настройке.
- AdGuard Home / Pi‑hole (вкупе с локальным VPN) — DNS‑уровень: блокировка доменов централизованно для всей сети.
- Для Windows: NetLimiter / NetBalancer / Simplewall / GlassWire — NetLimiter и NetBalancer умеют throttle и quota; Simplewall и TinyWall — WFP‑базированные блоки.
- Проксирование: если принудительно направлять весь трафик через локальный или сетевой прокси (Squid, mitmproxy) — можно детально контролировать, но нужно настроить устройства/роутер.
- Практический итог: локальный VPN‑firewall на Android + системный мониторинг на Windows дают быстрый эффект по уменьшению фонового трафика. Для жёсткого централизации лучше делать это на уровне роутера/сети.
3) Практичные сетевые/роутерные решения (удобный интерфейс, DNS‑фильтрация, блок доменов, shaping/QoS)
- Подход «централизованно — лучше всего»:
1. DNS‑фильтрация + блокировка доступа к публичному DNS (принудить использовать ваш DNS).
2. Per‑device правила и/или квоты/трафик‑шейпинг на роутере/устройстве безопасности.
3. Блокировка известных update/telemetry доменов по необходимости.
- Конкретные решения (по уровню сложности и удобству):
- Очень удобные «appliance / plug‑and‑play»:
- Firewalla (Red/Blue/Gold) — простой UI, per‑device блокировка, DNS‑блокеры, ограничения скорости и квоты, VPN, уведомления. Отлично для домашней сети без сильного администрирования.
- Gryphon, Circle, Fingbox — ориентированы на родительский контроль; есть блокировки и базовый QoS, но возможности блокировки доменов и глубинной настройки ограничены.
- DNS‑набор: Pi‑hole / AdGuard Home (на Raspberry Pi / Docker) — централизованная блокировка доменов, удобные фильт‑листики, статистика по клиентам. В паре с простым роутер‑правилом (запрет внешнего DNS) даёт хороший контроль.
- Роутеры/прошивки с богатой функциональностью:
- AsusWRT‑Merlin (Asus) — Diversion/AdGuard‑style adblocking, Adaptive QoS, per‑device limits.
- OpenWRT — полный контроль: luci‑app‑sqm (SQM для буфершейкинга), traffic‑control, adblock, iptables. Нужно чуть больше времени на настройку.
- MikroTik RouterOS — мощный, гибкий: simple queues / queue tree / mangle для shaping; steeper learning curve.
- Ubiquiti UniFi (UDM/UDM‑Pro) — удобный GUI, per‑client bandwidth limits, DPI/traffic analytics и блокировка приложений/портов.
- Synology SRM — UI удобен, есть QoS и блокировка сайтов.
- Реальные практики для минимизации «утечек»:
- Настройте AdGuard Home / Pi‑hole как основной DNS у DHCP и блокируйте outbound DNS (port 53/853/DoH endpoints) на роутере, чтобы устройства не могли «перескочить» на DoH/внешние DNS.
- Используйте блоклисты для трекеров/телеметрии и добавьте собственные статические записи/блоки для доменов обновлений/телеметрии ваших проблемных приложений (игр, соцсетей).
- На роутере/апpliance установите per‑device rate limits/quotas или назначьте ненужные устройства в «ограниченную» сеть/VLAN с меньшей пропускной способностью.
- Для Windows/игровых ПК — направьте их в отдельный VLAN, где вы контролируете QoS/limits. Для обновлений Windows — либо запретите через firewall/router домены обновлений (можно найти списки MS update hosts), либо держите ПК в режиме metered + Delivery Optimization отключённым.
- Если хотите полностью блокировать обновления игр/платформ (Steam/Epic/Ubisoft) — блокируйте их доменные имена и CDN‑endpoints на уровне DNS/роутера. Учтите, что CDNs используют множество IP и меняются; поддержка списков нужных доменов требует поддержки и обновления.
4) Конкретный пример рабочего стека для вашей цели (минимум рук):
- Дешёвый/стандартный вариант:
1. Pi‑hole или AdGuard Home на Raspberry Pi / VPS.
2. Настроить роутер DHCP — раздавать DNS указанный сервер.
3. На роутере — блокировать внешние DNS (port 53 и DoT/853 и при возможности известные DoH провайдеры), включить простые QoS (per‑device).
4. На Android — поставить NetGuard/AdGuard (локальный VPN) и включать его постоянно; настроить блокировку фонового трафика для ненужных приложений.
5. На Windows — NetLimiter для точечного контроля; PC можно перенести в VLAN с ограничением скорости, если нужно.
- «Поставил и забыл» (удобно, но платно):
- Firewalla Gold/Blue + включить Adblocking и per‑device limits + настроить блокировки доменов. Админский интерфейс прост, можно управлять с телефона, минимум ручной работы.
5) Практические советы и хитрости
- Принудительное использование вашего DNS: если устройство поддерживает Private DNS (Android) — пользователи могут его поменять. Блокируйте исходящие соединения к известным DoT/DoH серверам и порт 853/443 к DoH IP, чтобы заставить их использовать локальный DNS.
- Для любых блокировок обновлений/телеметрии — составьте списки доменов, пробуйте блокировать и наблюдайте, т.к. сервисы используют CDN и обходы. Иногда проще ограничить скорость/время доступа устройству, чем вылавливать все домены.
- Мониторинг: ставьте Pi‑hole/AdGuard для логов запросов, это даёт быстрый способ найти «кто ест трафик» и заблокировать.
- Корни (root): если вы готовы к root — получите полный контроль: iptables/iptables‑tc + AFWall+, hosts‑редактирование, подлинная пер‑app throttling возможен (сложнее).
- Пользовательский опыт: некоторые игры/сервисы не любят VPN/проксирование и могут отказывать в соединении. Тестируйте изменения постепенно.
6) Итог/рекомендация
- Если хотите централизованное, минимального ручного вмешательства решение для всей сети — начните с Pi‑hole/AdGuard Home + правил на роутере (блокировать внешний DNS, простые QoS) либо возьмите готовое устройство типа Firewalla.
- Если нужна детальная per‑app фильтрация на Android без root — ставьте AdGuard/NetGuard. Они хорошо уменьшают фоновые утечки, но не умеют «ограничивать скорость».
- Для Windows — NetLimiter/NetBalancer дают тонкий контроль (throttling/quotas); для массового контроля ставьте ПК в отдельный VLAN с ограничением на роутере.
- Для полного «железного» контроля (шейпинг/глубокая фильтрация/DoH‑контроль) придётся или использовать мощный роутер (OpenWRT/MikroTik/UniFi) или appliance (Firewalla, UDM‑Pro).
Если хотите — могу:
- Подготовить узнаваемые списки доменов для блокировки фоновых обновлений игр/платформ (Steam, Epic, Google Play update и пр.).
- Составить пошаговую инструкцию для установки Pi‑hole/AdGuard Home + правила роутера (для вашей модели роутера).
- Подобрать конкретную конфигурацию QoS/vLAN для вашего роутера (скажите модель роутера/какую технику хотите ставить в «ограниченную» сеть).