Ustawiłeś już filtrowanie DNS na routerze? Jeśli tak — super. Jeśli wrzuciłeś 1.1.1.3 i nie oglądałeś się za siebie, warto wiedzieć, że w 2026 wybór serwera DNS to nie tylko “szybki vs wolny”. To decyzja o tym, komu oddajesz wgląd w każde pytanie, które Twój dom zadaje internetowi.

DNS to pierwszy krok każdego połączenia — Twój telefon zapytał “gdzie jest youtube.com?”, zanim cokolwiek się załadowało. Ten, kto odbiera te pytania, widzi kompletny profil zachowań domowników: jakie strony, o której, z którego urządzenia. Operator DNS może te dane logować, sprzedawać, udostępniać rządom albo wyrzucać w czasie rzeczywistym. Każda z 11 opcji niżej robi z tym coś innego.

Co oceniamy

Dla rodzica z dziećmi liczy się pięć rzeczy — i zwykle nie da się mieć wszystkich naraz:

  1. Filtrowanie treści dla dorosłych — czy serwer blokuje porno/hazard/narkotyki domyślnie, czy musisz konfigurować?
  2. Blokowanie malware i phishingu — pierwsza linia obrony, zanim antywirus się obudzi.
  3. Prywatność — czy operator loguje zapytania i komu je udostępnia.
  4. Jurysdykcja — prawo którego kraju ma władzę nad tymi logami. Five Eyes (USA, UK, Kanada, Australia, NZ) dzielą dane wywiadowcze bez nakazów sądowych.
  5. Szybkość i prostota konfiguracji — bo router, który nie działa, szybko wyleci.

🇺🇸 Big Tech / USA (Five Eyes)

Cloudflare 1.1.1.3 (Family)

Najpopularniejszy wybór “rodzinny” i mój domyślny w przewodniku po bezpiecznym internecie. Blokuje treści dla dorosłych i malware. Cloudflare deklaruje brak sprzedaży danych i audyt KPMG potwierdzający politykę 25-godzinnego przechowywania logów.

  • Plus: Najszybszy na świecie (mierzone przez DNSPerf), tryb Family out-of-the-box, zero konfiguracji.
  • Minus: USA, Five Eyes, CLOUD Act — rząd USA może żądać danych bez powiadamiania użytkownika.
  • Dla kogo: Chcesz coś, co po prostu działa, i traktujesz DNS jak jedno z wielu narzędzi, nie fundament prywatności.

Google 8.8.8.8 / 8.8.4.4

Najstarszy publiczny DNS. Nie blokuje treści dla dorosłych ani malware — to czysty resolver. Logi przechowywane 24-48h w pełnej formie, permanentne w formie zanonimizowanej.

  • Plus: Szybki, zawsze działa, łatwy do zapamiętania.
  • Minus: Google wie już dużo o Tobie — dawanie mu jeszcze DNS to dobrowolne poszerzanie profilu. Zero filtrowania rodzinnego.
  • Dla kogo: Nie dla rodziny z dziećmi. Raczej fallback albo debug.

OpenDNS Family Shield (208.67.222.123)

Pionier filtrowania DNS, dziś własność Cisco. Preset Family Shield ma zablokowane kategorie adult/hazard/proxy już na wejściu.

  • Plus: Sprawdzone, stabilne, darmowe dla użytku domowego.
  • Minus: Cisco to amerykańska korporacja pod Five Eyes. Logi są, polityka mniej transparentna niż u Cloudflare.
  • Dla kogo: Rozsądny wybór jeśli nie ufasz Cloudflare (zbyt duży) albo Google (za dużo wie).

🇨🇭🇸🇪 Neutralne / Prywatnościowe

Quad9 9.9.9.9

Szwajcarska fundacja non-profit, wspierana m.in. przez IBM i Global Cyber Alliance. Blokuje malware i phishing na podstawie threat intelligence z ~20 źródeł. Logi zanonimizowane, jurysdykcja szwajcarska — kraj znany z silnej ochrony danych.

  • Plus: Najlepszy kompromis prywatność + malware. Non-profit, audytowany, poza Five Eyes.
  • Minus: Nie blokuje treści dla dorosłych. Jeśli potrzebujesz filtra dla dzieci, musisz łączyć z innym rozwiązaniem.
  • Dla kogo: Rodzice którzy chcą prywatności i ochrony przed malware, a filtrowanie treści dla dzieci rozwiązują przez urządzenie (Family Link, Screen Time) albo drugą warstwę DNS.

Mullvad DNS (194.242.2.2)

Szwedzki operator VPN znany z radykalnej prywatności (nie wymaga emaila przy rejestracji). Deklaruje zero logów.

  • Plus: Najmocniejsza deklaracja prywatności w zestawieniu. Warianty blokujące reklamy/malware.
  • Minus: Nie blokuje treści dla dorosłych. Szwecja od 2024 jest w NATO — jurysdykcyjnie mniej neutralna niż kiedyś.
  • Dla kogo: Jeśli DNS jest elementem większej strategii prywatnościowej (VPN, Signal, Proton).

🇪🇺 Europa / GDPR-first

To kategoria, która w ostatnich dwóch latach eksplodowała — i dla polskiego rodzica jest najciekawsza.

DNS4EU

Finansowany przez Komisję Europejską w ramach strategii cyberbezpieczeństwa UE. Uruchomiony publicznie w czerwcu 2025. Serwery wyłącznie w UE, IP zapytań anonimizowane, pełne GDPR.

Oferuje kilka profili pod różne potrzeby:

  • Protective (86.54.11.1 / 86.54.11.201) — tylko malware i phishing, bez filtrowania treści.
  • Child Protection (86.54.11.10 / 86.54.11.210) — malware + treści dla dorosłych + hazard.
  • Child Protection + Ad Blocking (86.54.11.11 / 86.54.11.211) — jw. plus blokada reklam i trackerów. Dla rodzica z dziećmi to najbardziej kompletny preset z jednego serwera.

⚠️ Uwaga z oficjalnej dokumentacji DNS4EU: wariant z blokadą reklam może powodować problemy na stronach z wykrywaniem adblockera (portale medialne, niektóre serwisy VOD). Jeśli coś przestaje działać — winowajcą jest blokowanie reklam, nie filtrowanie dla dzieci. Wtedy przełącz na profil bez Ad Blocking albo dodaj konkretną stronę do wyjątków.

  • Plus: Europejska jurysdykcja na poziomie instytucjonalnym (nie pojedyncza firma — konsorcjum operatorów telekomunikacyjnych pod nadzorem KE). GDPR jest tu nie deklaracją, tylko prawem.
  • Minus: Nowy, mniej sprawdzony w boju niż Cloudflare. Dokumentacja miejscami surowa.
  • Dla kogo: Rodzic, dla którego “gdzie lecą dane moich dzieci” to poważne pytanie, i który chce, żeby odpowiedź była “w Europie, pod GDPR”.

dns0.eu

Francuski non-profit. Subdomena kids.dns0.eu to dedykowany filtr dla dzieci (adult content, hazard, malware). Osobny wariant zero.dns0.eu agresywnie blokuje trackery.

  • Plus: Prostszy i starszy niż DNS4EU, sprawdzony. Non-profit, serwery w UE.
  • Minus: Mniejsza skala niż Cloudflare — w skrajnie rzadkich przypadkach wolniejsze odpowiedzi.
  • Dla kogo: Jeśli DNS4EU wydaje się zbyt nowy/biurokratyczny, a Cloudflare zbyt amerykański — to jest złoty środek.

DNS.SB (185.222.222.222)

Prowadzony przez osobę prywatną, serwery w Niemczech, zero logów, open source. Nie blokuje treści — czysty prywatnościowy resolver.

  • Dla kogo: Geeki lubiący transparentność kodu. Nie nadaje się jako jedyny DNS w domu z dziećmi.

Foundation for Applied Privacy (146.255.56.98)

Austriacki non-profit, serwery w Austrii i Niemczech. Zero filtrowania, zero logów, ściśle prawny kontekst europejski.

  • Dla kogo: Bardzo niszowe — aktywiści, dziennikarze, ludzie z paranoja uzasadnioną zawodowo.

🛠️ Zaawansowane / Płatne

NextDNS

Najbardziej konfigurowalny DNS na rynku. Darmowe konto daje 300k zapytań/miesiąc (wystarczy dla rodziny 2-3 osób), płatne $2/miesiąc znosi limit. Własny dashboard, osobne profile per urządzenie, listy blokowania (ponad 100 kategorii), logi można wyłączyć jednym przełącznikiem.

  • Plus: Poziom kontroli, którego nie daje nikt inny. Możesz zablokować TikToka dla dzieci, ale zostawić sobie. Francuska jurysdykcja.
  • Minus: Konfiguracja wymaga godziny na start. Overkill dla kogoś, kto chce “włącz i zapomnij”.
  • Dla kogo: Rodzic techniczny, który traktuje DNS jak centralne narzędzie polityki cyfrowej w domu.

Control D

Podobny do NextDNS, własność Windscribe (Kanada). Bogaty zestaw profili, ale jurysdykcja Five Eyes to dla mnie dyskwalifikacja dla tego typu narzędzia.

AdGuard DNS

Darmowa opcja Family Protection blokuje reklamy + treści dla dorosłych + malware. Firma cypryjska, pochodzenie rosyjskie — warte świadomej decyzji.

  • Dla kogo: Jeśli priorytet to blokada reklam (bo rodzina dużo na YouTube/mobile) i akceptujesz pochodzenie firmy.

Rekomendacja — co wybrać dla polskiego domu

Po tym wszystkim zostaje pytanie: którego użyć. Moja odpowiedź zależy od tego, co dla Ciebie ważniejsze.

Jeśli chcesz, żeby po prostu działało (90% rodzin):1.1.1.3 Cloudflare Family. Najszybszy, filtr rodzinny domyślnie, zero konfiguracji — przewodnik po bezpiecznym internecie pokazuje jak ustawić w kilka minut.

Jeśli zależy Ci, żeby dane nie wychodziły z Europy:DNS4EU (profil Child Protection). To najbliższe ideału “GDPR-first + filtr dla dzieci + instytucjonalna wiarygodność” co mamy w 2026. Jeśli dokumentacja DNS4EU Cię odrzuci — wybierz kids.dns0.eu jako prostszą europejską alternatywę.

Jeśli jesteś tech-świadomy i chcesz kontroli:NextDNS. Profile per urządzenie, logi wyłączalne, $2/mies. za pełną kontrolę nad tym, co dzieci widzą, i zerowe kompromisy prywatnościowe.

Jeśli Ty i dzieci jesteście na różnych poziomach potrzeb: → Dwuwarstwowo: Quad9 na routerze (malware + prywatność dla wszystkich), plus Family Link / Screen Time z filtrowaniem per urządzenie dziecka. Dorosły router nie filtruje, dziecięce urządzenia filtrują same siebie.

Proces — jak to w ogóle ustawić

Niezależnie od tego, który DNS wybierzesz, proces sprowadza się do tego samego: wchodzisz do routera i podmieniasz dwa adresy. Różnica między “ogarniętym w 10 minut” a “poddałem się” to zwykle nie wiedza techniczna, tylko znajomość UI konkretnego routera.

Ścieżka klasyczna — przeglądarka:

  1. Wpisz 192.168.1.1 lub 192.168.0.1 w pasek adresu. Login i hasło są na naklejce pod routerem.
  2. Znajdź sekcję DNS — najczęściej pod “Sieć”, “WAN”, “Internet” albo “Zaawansowane”.
  3. Wpisz dwa adresy wybranego serwera (primary + secondary).
  4. Zapisz i zrestartuj router.

Przykład — ASUS:

  1. 192.168.1.1WANWAN DNS Setting.
  2. Kliknij Assign (opcja manualna) — albo wyłącz auto-DNS w sekcji WAN.
  3. Wpisz adresy wybranego DNS, np. DNS4EU Child+Ads: 86.54.11.11 i 86.54.11.211.
  4. Apply → router się zrestartuje.

Ścieżka nowoczesna — aplikacja dostawcy:

Większość polskich dostawców (Orange Funbox, Play, T-Mobile, Vectra, Netia, UPC) ma dziś aplikację mobilną, przez którą ustawisz DNS bez kabla, bez 192.168.1.1, bez logowania się do panelu routera. Szukaj zakładki “Sieć” albo “Zaawansowane”. To zwykle szybsze niż klasyczna ścieżka, szczególnie jak router stoi w szafce i nie masz pod ręką laptopa.

Ścieżka minimalna — DNS w przeglądarce:

Jeśli router jest zamknięty (mieszkanie wynajmowane, panel zablokowany przez dostawcę, nie znasz hasła), możesz ustawić DNS bezpośrednio w przeglądarce. Nie ochroni to reszty urządzeń ani innych aplikacji — tylko tę konkretną przeglądarkę na tym konkretnym komputerze. Ale to 30 sekund i zero ryzyka zepsucia czegoś.

  • Chrome / Edge / Brave / Comet: Ustawienia → Prywatność i bezpieczeństwo → Bezpieczeństwo → “Użyj bezpiecznego serwera DNS” → wybierz z listy (Cloudflare, Google, OpenDNS, DNS4EU Protective, CleanBrowsing Family Filter) albo dodaj własny niestandardowy.
  • Firefox: Ustawienia → Prywatność i bezpieczeństwo → DNS przez HTTPS → włącz + wybierz dostawcę.
  • Safari: nie ma ustawienia w samej przeglądarce — używa DNS systemowego (macOS/iOS), więc tam zmieniasz w ustawieniach Wi-Fi.

Zaletą tej drogi jest to, że lista w przeglądarce to gotowy dropdown — bez przepisywania adresów 1.1.1.3 z kartki. Widać też, że DNS4EU i OpenDNS są już presetami obok Cloudflare i Google — to sygnał, że europejskie alternatywy wchodzą do mainstreamu.

Ograniczenie tej ścieżki: chroni tylko jedną przeglądarkę. Tablet dziecka, Xbox, smart TV, aplikacje mobilne, Spotify, YouTube w apce — wszystko to omija filtr. Dlatego to dobra pierwsza warstwa lub awaryjne rozwiązanie, ale nie zastępuje DNS na routerze. Jeśli masz router pod kontrolą — zrób to tam.

Kiedy utkniesz — zapytaj AI.

UI routerów są notorycznie nieintuicyjne, a dokumentacja dostawców bywa nieaktualna. Zamiast kopać się z instrukcją:

  • Sprawdź model routera na naklejce (Funbox 6, TP-Link Archer C6, Asus RT-AX58U, Play Net Box itd.).
  • Wpisz do ChatGPT/Gemini/Claude: “Jak zmienić serwery DNS na routerze [model]? Potrzebuję instrukcji krok po kroku.”
  • Dostaniesz przewodnik dopasowany do dokładnie Twojego sprzętu, często z wyjaśnieniem, gdzie kliknąć i co oznaczają etykiety po angielsku.

To jedno z tych zadań, gdzie LLM jest lepszy niż Google — bo synteza pod konkretny model routera zwykle nie istnieje jako gotowy artykuł, ale AI zbuduje ją z fragmentów.

Jak sprawdzić, czy DNS działa

Po zmianie ustawień nie wierz na słowo — sprawdź. Trzy poziomy weryfikacji, od najszybszego:

1. Test specyficzny dla operatora (najlepszy).

  • DNS4EU: wejdź na test.joindns4.eu — strona od razu pokaże, czy Twoje zapytania faktycznie lecą przez serwery DNS4EU, i który profil jest aktywny (Protective / Child / Child+Ads).
  • Cloudflare: 1.1.1.1/help — pokaże czy używasz Cloudflare, czy masz DoH/DoT włączone.
  • Quad9: on.quad9.net — jednoznaczna odpowiedź tak/nie.

2. Test filtra treści (czy blokada zadziałała).

Otwórz przeglądarkę na urządzeniu w domowej sieci i spróbuj wejść na:

  • Stronę z treściami dla dorosłych (dowolną) — powinieneś zobaczyć komunikat blokady zamiast strony.
  • testsafesearch.com — neutralny test, pokaże czy filtrowanie SafeSearch / adult content faktycznie działa.
  • Jeśli wybrałeś wariant z blokadą malware: phishing.testcategory.com (Quad9) lub malware.testcategory.com — powinny być zablokowane.

3. Test systemowy (co naprawdę widzi system).

  • Windows: PowerShell → Resolve-DnsName tatai.pl — na dole zobaczysz, z którego serwera przyszła odpowiedź.
  • macOS/Linux: Terminal → dig tatai.pl lub nslookup tatai.pl — w odpowiedzi pole “Server”.
  • Jeśli widzisz adres swojego routera (192.168.x.x) — to znaczy, że router przekazuje DNS, ale żeby sprawdzić, dokąd — musisz zajrzeć w panel routera albo zrobić test z punktu 1.

Troubleshooting — test pokazuje, że DNS nie jest aktywny

Klasyczna sytuacja: ustawiłeś DNS4EU na routerze, ale test.joindns4.eu dalej mówi “not active”. Przejdź po kolei:

  1. Sprawdź, czy ustawienia faktycznie zapisały się w routerze. Wróć na 192.168.1.1 → WAN → upewnij się, że w polach DNS widnieją adresy dla wybranego profilu DNS4EU (Protective: 86.54.11.1 / 86.54.11.201; Child Protection: 86.54.11.10 / 86.54.11.210; Child + Ad Blocking: 86.54.11.11 / 86.54.11.211), a nie wciąż auto-DNS od dostawcy.
  2. Wyczyść cache DNS na komputerze. System trzyma odpowiedzi DNS lokalnie i może serwować stare, zanim odpyta router.
    • macOS: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
    • Windows: ipconfig /flushdns
    • Linux (systemd-resolved): sudo resolvectl flush-caches
  3. Odłącz i podłącz Wi-Fi ponownie. Komputer musi pobrać nową konfigurację DHCP z routera — bez tego nadal używa tego, co dostał na starcie sesji.
  4. Wyłącz DoH w przeglądarce. To najczęstszy sprawca fałszywego “nie działa”. Chrome i Firefox mają własny Secure DNS / DNS over HTTPS, który omija ustawienia routera — przeglądarka pyta bezpośrednio Cloudflare/Google, niezależnie od tego, co ustawiłeś. W Chrome: chrome://settings/security → sekcja “Bezpieczny DNS” → ustaw na “Automatycznie” albo wyłącz. W Firefox: Ustawienia → Prywatność → DNS przez HTTPS → wyłącz. Po tej zmianie przeglądarka używa DNS systemowego (czyli routera).
  5. Zrestartuj router. Niektóre routery (zwłaszcza od polskich dostawców) wymagają pełnego restartu, żeby zmiana DNS się “przyjęła”. Wyciągnij zasilanie na 30 sekund.

Po każdym kroku odśwież test.joindns4.eu — zwykle problem znika na etapie 2 lub 4.

Uwaga bonusowa: urządzenie może mieć własny DNS skonfigurowany ręcznie (Windows: Panel sterowania → Sieć → Właściwości adaptera), który nadpisuje ustawienia z routera. Ustaw “automatyczny” albo wpisz te same adresy.

Dochodzenie w terminalu — kiedy test dalej kłamie

Przeszedłeś wszystkie 5 kroków, a test.joindns4.eu dalej mówi “not active”. Zanim się poddasz — terminal daje jednoznaczną odpowiedź, która omija pośredników.

Krok 1 — zobacz, co system naprawdę widzi jako DNS:

# macOS
scutil --dns | grep nameserver

# Linux
resolvectl status | grep "DNS Servers"

# Windows (PowerShell)
Get-DnsClientServerAddress

Jeśli zobaczysz adres swojego routera (192.168.x.x, np. 192.168.1.1 lub 192.168.0.1) — to jest OK. Router pośredniczy w zapytaniach, system pyta jego, a on pyta DNS4EU. Tak ma być.

Krok 2 — sprawdź, czy DNS4EU w ogóle odpowiada (pomiń router):

# macOS / Linux
nslookup google.com 86.54.11.11

# Linux — natywna alternatywa (czytelniejszy wynik)
dig @86.54.11.11 google.com

# Windows (PowerShell)
Resolve-DnsName google.com -Server 86.54.11.11
# albo cmd:
nslookup google.com 86.54.11.11

Jeśli dostajesz odpowiedź i widzisz forcesafesearch.google.com w wyniku — DNS4EU Child Protection działa. To zaszyta w tym profilu sygnatura: DNS4EU wymusza Google SafeSearch, podmieniając odpowiedź dla google.com na zablokowaną wersję. Jeśli ten sygnał widzisz — serwer odpowiada poprawnie.

Krok 3 — sprawdź, czy router faktycznie przekazuje do DNS4EU:

# macOS / Linux
nslookup google.com

# Linux
dig google.com

# Windows (PowerShell)
Resolve-DnsName google.com

Bez drugiego argumentu zapytanie leci domyślną ścieżką — czyli przez router. Jeśli odpowiedź to znów forcesafesearch.google.com, a Server: (albo pole SERVER: w dig) to IP routera (192.168.x.x) — to działa. Router poprawnie przekazuje zapytania do DNS4EU.

Dlaczego test.joindns4.eu może wtedy dalej mówić “not active”:

Test DNS4EU sprawdza, z jakiego IP przychodzi do niego zapytanie. Kiedy Twój komputer pyta router, router pyta DNS4EU, DNS4EU widzi IP routera (twojego publicznego) — a ten IP nie jest w ich liście “DNS4EU resolvers”. Test zwraca “not active”, bo szuka ruchu od siebie, a nie ruchu przez siebie.

Prawdziwy dowód, że Child Protection działa: forcesafesearch.google.com w wyniku nslookup google.com. Jeśli to widzisz — filtr aktywny, niezależnie od tego, co mówi test.

Test praktyczny — wejdź na pornhub.pl

Najszybsza weryfikacja bez terminala: otwórz przeglądarkę na urządzeniu w domowej sieci i wpisz pornhub.pl (albo dowolny inny serwis z treściami dla dorosłych). Co powinno się stać:

Przy DNS4EU (Child Protection): przeglądarka próbuje przekierować na warning.joindns4.eu — dedykowaną domenę blokady. Ta domena jednak sama nie rozwiązuje się publicznie, więc przeglądarka pokazuje natywną stronę błędu:

Ta witryna jest nieosiągalna Sprawdź, czy w adresie warning.joindns4.eu nie ma błędu. Kod błędu: DNS_PROBE_FINISHED_NXDOMAIN

Ten komunikat z adresem warning.joindns4.eu w pasku i kodem NXDOMAIN to właśnie podpis DNS4EU — filtr zadziałał, zablokowana domena została przekierowana na sygnalizator blokady, a browser nie umiał jej załadować. Dokładnie tak ma wyglądać “OK”.

Inne operatory pokazują własne warianty:

  • Cloudflare Family (1.1.1.3): dedykowana strona blokady Cloudflare z informacją, że treść została zablokowana.
  • OpenDNS Family Shield: strona OpenDNS z kategorią blokowania.
  • NextDNS: konfigurowalna — od niestandardowej strony po cichą odmowę.

Jeśli strona ładuje się normalnie — DNS nie filtruje. Wróć do kroków troubleshootingu wyżej, najczęstszy winowajca to DoH w przeglądarce (punkt 4).

Ten test jest brutalnie jednoznaczny — jeśli działa, wiesz to w 5 sekundach. Jeśli nie — masz konkretny objaw do debugowania.

Czego nie zmieniają żadne DNS

DNS blokuje na poziomie nazwy — pornhub.com przestaje się rozwiązywać. Nie blokuje:

  • Treści na YouTube, TikToku, Discordzie (bo domena sama w sobie jest “ok”)
  • Wyszukiwarki Google Images
  • Treści w aplikacjach mobilnych, które używają własnych DNS przez DNS-over-HTTPS
  • VPN-a, który dziecko zainstaluje

Osobna sprawa: VPN omija DNS kompletnie

VPN to największa luka w strategii “DNS jako fundament” i warto rozumieć mechanizm, zanim zaufasz routerowi.

Kiedy dziecko włączy VPN na swoim urządzeniu, cały ruch (włącznie z zapytaniami DNS) leci zaszyfrowanym tunelem do serwera VPN — np. w Holandii. To ten serwer rozwiązuje pornhub.pl przez swój własny DNS, a Twój router widzi tylko jeden zaszyfrowany strumień do jednego IP. DNS4EU, Cloudflare Family, NextDNS — wszystkie zostają obejściowane, bo zapytania nigdy do nich nie docierają.

Bariera wejścia jest niska:

  • ProtonVPN, Windscribe, TunnelBear mają darmowe plany wystarczające do odblokowania treści.
  • Instalacja z App Store / Google Play: 2 minuty, jedno kliknięcie.
  • Opera i Brave mają wbudowany VPN bez instalacji niczego dodatkowego.
  • Rozszerzenia Chrome typu “Free VPN” — jeszcze prościej.

Co realnie z tym zrobić:

  1. Blokada VPN na routerze — ASUS (AiProtection), MikroTik i pfSense potrafią blokować znane porty i IP serwerów VPN. Skuteczne przez kilka dni, potem dochodzi arms race z nowymi serwerami.
  2. MDM / Family Link / Screen Time — blokada instalacji aplikacji VPN na urządzeniu dziecka. To jedyna naprawdę skuteczna warstwa — jak nie ma aplikacji, nie ma VPN-a. Family Link pozwala wymagać Twojej zgody na każdą instalację.
  3. Monitoring ruchu — NextDNS i podobne pokazują, kiedy z urządzenia nagle przestaje iść ruch DNS (bo cały przeszedł do VPN-a). To nie blokuje, ale sygnalizuje.
  4. Rozmowa i zaufanie — dla dzieci 13+ to jedyna skalowalna strategia. Dziecko które chce obejść filtr, obejdzie każdy; DNS chroni przed przypadkowym trafieniem, nie przed świadomym obejściem.

Praktyczny wniosek: DNS skutecznie blokuje treści “po drodze” — reklamy, phishing, malware, automatycznie podsunięte podejrzane linki. Przed świadomym kombinowaniem starszego dziecka DNS sam nie ochroni. Potrzebujesz warstw: DNS (fundament) + MDM na urządzeniu (instalacja aplikacji) + rozmowa (dlaczego).

Podsumowanie

DNS to fundament, nie kompletna strategia. Na górze musisz mieć rozmowę, zasady i narzędzia per urządzenie. Ale jako fundament — jeden wpis w routerze realnie zmienia to, co dociera do domu.

Jeśli jeszcze nie masz DNS filtrowania na routerze, zacznij od przewodnika po bezpiecznym internecie. Jeśli chcesz rozmawiać o konkretnym wyborze dla Twojej sytuacji — zapisz się do newslettera, co tydzień piszę o takich decyzjach między prywatnością a wygodą.