Коротко — потому что Google и Bing (и вообще современные крупные сервисы) используют кучу доменов/поддоменов, CDN/IP‑пулов и защищённые/альтернативные способы разрешения имён (DNS‑over‑HTTPS/DoH, DoT, собственный резолвер в браузере), поэтому простые способы (hosts, «родительский контроль» без «жёсткой» сетевой политики) иногда не перекрывают все каналы доступа. Ниже — почему так происходит и пошагово — что реально работает.
Почему не работает hosts/стандартный блок
- Браузеры и сервисы могут использовать DoH/DoT (шифрованный DNS), обходящий системный резолвер и hosts.
- У больших сервисов много доменов/поддоменов (google.com, www.google.com, googleapis.com, gstatic.com, googleusercontent.com, accounts.google.com и т.д.; у Microsoft — bing.com, bing.net, msn.com и др.). Заблокировать только www.google.com недостаточно.
- Некоторые браузеры имеют встроенный DNS‑кэш или собственный резолвер (Yandex Browser, Chrome/Edge и т.д.).
- QUIC/HTTP/3 (UDP 443) и частые смены IP у крупных CDN усложняют блокировку по IP.
- Hosts работает только если браузер использует системный резолвер и не применяет DoH — если он обходится, hosts бесполезен.
Что делать — практические решения (по убыванию надёжности)
1) Блокировать на уровне роутера / локальной сети (наиболее надёжно)
- Настройте фильтрующий DNS (OpenDNS FamilyShield, AdGuard Home, Pi‑hole с блоклистами). В DNS заблокируйте все домены Google и Bing (и сопут. домены).
- На роутере запретите внешние DNS: блокируйте исходящие подключения на порты 53 (UDP/TCP) и 853 (DoT) и перенаправляйте/разрешайте DNS только на ваш фильтр. Это не даст клиенту использовать сторонние DNS/DoH.
- Обеспечьте, чтобы DHCP раздавал только ваш DNS; запретите смену DNS на клиенте (если роутер поддерживает).
- Плюсы: блок действует независимо от браузера; можно массово добавлять домены/категории.
2) Программный сетевой фильтр/родительский софт с HTTPS‑фильтрацией
- Коммерческие решения (Qustodio, Net Nanny, Kaspersky/Dr.Web с сетевым драйвером) устанавливают перехват и фильтрацию запросов на уровне ПК, блокируют DoH и HTTPS по белым/чёрным спискам. Часто требуют установки свой корневой сертификата.
- Плюсы: работает даже если пользователь меняет браузер; минусы — платно, требует доверия/настроек.
3) Если вы хотите оставаться на компьютере (быстрая локальная мера)
- Отключите/запретите DoH в каждом браузере:
- Chrome/Edge: Settings → Privacy and security → Secure DNS (Use secure DNS) — отключите или установите провайдера «With current service provider». Также можно отключить флаг QUIC (chrome://flags → experimental QUIC protocol → Disable) или запускать с --disable-quic.
- Firefox: Settings → General → Network Settings → Disable "Enable DNS over HTTPS".
- Yandex Browser: настройки → безопасность/защита → отключить DNS‑over‑HTTPS/защищённый DNS (в разных версиях может называться по‑разному).
- После этого hosts файл снова будет влиять. Правильная запись в hosts:
127.0.0.1 www.google.com
127.0.0.1 google.com
127.0.0.1 www.bing.com
127.0.0.1 bing.com
Но: нужно добавить все сопутствующие домены (googleapis.com, gstatic.com, googleusercontent.com, accounts.google.com, msedge.net, msn.com и т.п.), иначе сервисы всё равно будут работать через другие хосты.
- Очистите кэш: ipconfig /flushdns и перезапустите браузеры.
4) Используйте Microsoft Family / учётную запись ребёнка
- Если у ребёнка учётная запись Microsoft и вы управляете через Microsoft Family Safety, можно включить блокировку сайтов и «разрешить только» список сайтов. Но действует надёжно только при использовании Edge и управляемых учётных записей; другие браузеры/методы обхода могут срабатывать.
5) Блокировка по IP — сложна и ненадёжна
- Можно попытаться блокировать IP‑диапазоны google и microsoft на роутере/фаерволе, но у них огромные, часто меняющиеся пулы; можно случайно заблокировать другие сервисы.
Рекомендация для вашей задачи (разрешить только определённые сайты и запретить поисковики)
- Лучший и надежный путь: настроить фильтрующий DNS на роутере (AdGuard Home или OpenDNS FamilyShield) и запретить / перенаправить весь внешний DNS-трафик на него (блокировать 53/853), плюс отключить DoH в браузерах на клиенте и использовать стандартную детскую учётную запись (не админ).
- Если нет доступа к роутеру: установите AdGuard for Windows или надёжный родительский софт на ПК ребёнка и настройте режим, который перехватывает/фильтрует всё (с установкой системного сертификата).
Короткий план действий прямо сейчас
1. На роутере поставьте AdGuard Home / OpenDNS или включите FamilyShield.
2. На роутере заблокируйте исходящие DNS к внешним серверам (53/853), чтобы клиенты не могли пользоваться чужим DNS/DoH.
3. В браузерах на компьютере ребёнка отключите DNS‑over‑HTTPS (в настройках безопасности).
4. Добавьте в блоклист все домены Google/Bing (www.google.com, google.com, googleapis.com, gstatic.com, googleusercontent.com, accounts.google.com, bing.com, www.bing.com, msn.com, bing.net и т.д.).
5. Сделайте учётную запись ребёнка обычной (не админ), включите Family Safety по желанию.
Если хотите, могу:
- Прислать точный список доменов Google/Bing для блокировки.
- Подробно расписать, как настроить AdGuard Home / OpenDNS на типичном домашнем роутере.
- Помочь отключить DoH в конкретных версиях браузеров (скиньте список браузеров на компьютере ребёнка).