🛡️ URHH Blocker

Čo robí:

• Pridá DNS static záznamy pre URHH domény
• Domény sa riešia na 127.0.0.1 (localhost)
• Rýchle a jednoduché riešenie

Použitie:

1. Nahraj súbor do MikroTik
2. Spusti: /import urhh_dns_static_only.rsc
3. Overenie: /ip dns static print where comment="URHH Block"

Čo robí:

• Zapne MikroTik DNS server
• Pridá DNS static záznamy pre URHH domény (127.0.0.1)
• Nastaví upstream DNS servery (8.8.8.8, 1.1.1.1)
• Presmeruje VŠETKY DNS dotazy na MikroTik (NAT redirect port 53)

Prečo je to najlepšie:

• ✅ Klienti automaticky používajú MikroTik DNS
• ✅ NEMOŽNÉ obísť zmenou DNS servera
• ✅ Splňa legislatívne požiadavky URHH
• ✅ Žiadna manuálna konfigurácia klientov

Použitie:

1. Nahraj súbor do MikroTik
2. Spusti: /import urhh_dns_static_redirect.rsc
3. Overenie DNS: /ip dns print
4. Overenie NAT: /ip firewall nat print where comment="URHH DNS Redirect"
5. Test: :put [:resolve casinia.sk] → má vrátiť 127.0.0.1

Čo robí:

1. DNS Static - okamžite blokuje domény (127.0.0.1)
2. IP Resolver - vyriešiť skutočné IP adresy hazardných stránok
3. Firewall Monitoring - sleduje pokusy o prístup na zakázané IP
4. Auto-Detection - ak používateľ zmení DNS a prístúpi na hazardnú stránku:
   • ✅ Firewall ho DETEKUJE
   • ✅ PRIDÁ ho do "dns-violators" skupiny (24h)
   • ✅ PRESMERUJE jeho DNS na MikroTik DNS
   • ✅ ZABLOKUJE DoH/DoT (DNS over HTTPS/TLS)
   • ✅ Používateľ už NEMÔŽE obísť blokovanie!

Použitie:

1. Nahraj súbor do MikroTik
2. Spusti: /import urhh_dynamic_enforcement.rsc
3. Sleduj porušovateľov: /ip firewall address-list print where list="dns-violators"
4. Sleduj logy: /log print follow where message~"URHH"

⏱️ Upozornenie: IP resolver trvá 5-15 minút. DNS blokuje okamžite!

Čo robí tento skript:

1. 📋 Kontrola - prejde všetky URHH domény v DNS Static
2. 🔍 Detekcia - zistí, ktoré domény NEMAJÚ IP adresy v address-liste
3. 🌐 Riešenie - doriešiť chýbajúce IP adresy z viacerých DNS serverov:
   • 8.8.8.8 (Google DNS)
   • 1.1.1.1 (Cloudflare DNS)
   • 9.9.9.9 (Quad9 DNS)
   • 208.67.222.222 (OpenDNS)
4. ➕ Pridanie - pridá vyriešené IP adresy do address-listu "urhh_blocked"
5. 📊 Reporting - zobrazí detailnú štatistiku:
   • Počet skontrolovaných domén
   • Počet domén s IP adresami
   • Počet domén BEZ IP adries
   • Počet pridaných IP adries

🎯 Kedy použiť tento skript:

• ✅ Po prvotnom nasadení Dynamic Enforcement
• ✅ Keď IP resolver nezískal všetky IP adresy (DNS timeout, rate limiting)
• ✅ Keď chceš doplniť chýbajúce IP adresy
• ✅ Keď vidíš v logoch, že niektoré domény nemajú IP
• ✅ Pravidelne (napr. 1x týždenne) pre udržanie kompletného address-listu

📋 Použitie:

1. Stiahni súbor check_missing_ips.rsc
2. Nahraj do MikroTik (cez WinBox, WebFig alebo FTP)
3. Spusti: /import check_missing_ips.rsc
4. Sleduj progress v logoch: /log print follow where message~"URHH-CHECK"
5. Počkaj na dokončenie (10-20 minút pre 850+ domén)
6. Skontroluj výsledky: /ip firewall address-list print count-only where list="urhh_blocked"

⏱️ Časový priebeh:

• ⏳ Trvanie: 10-20 minút (závisí od počtu chýbajúcich domén)
• 📊 Progress update: Každých 50 domén
• 🔄 Retry logika: Skúša 4 rôzne DNS servery pre každú doménu
• ⚠️ NEPRERUSUJ: Nechaj skript dokončiť!

📊 Príklad výstupu v logoch:

URHH-CHECK: =========================================
URHH-CHECK: MISSING IPs CHECKER & FIXER
URHH-CHECK: =========================================
URHH-CHECK: ⚠️  This may take 10-20 minutes!
URHH-CHECK: ⚠️  Do NOT interrupt the script!
URHH-CHECK: ⚠️  Progress updates every 50 domains
URHH-CHECK: =========================================

URHH-CHECK: Domain casinia.sk has NO IPs - resolving...
URHH-CHECK: Added 104.21.45.123 for casinia.sk [8.8.8.8]
URHH-CHECK: Added 172.67.156.78 for casinia.sk [1.1.1.1]
URHH-CHECK: Resolved casinia.sk to 2 IPs

URHH-CHECK: ⏳ Progress: 50/850 (5%) | Missing: 12 | IPs added: 24
URHH-CHECK: ⏳ Progress: 100/850 (11%) | Missing: 25 | IPs added: 50

URHH-CHECK: =========================================
URHH-CHECK: ✅ COMPLETED!
URHH-CHECK: =========================================
URHH-CHECK: Total domains checked: 850
URHH-CHECK: Domains with IPs: 820
URHH-CHECK: Domains without IPs: 30
URHH-CHECK: ✅ IPs added: 60
URHH-CHECK: =========================================

🔍 Ako funguje:

1. Skript prejde všetky DNS Static záznamy s komentárom "URHH Block"
2. Pre každú doménu skontroluje, či existuje záznam v address-liste "urhh_blocked"
3. Ak doména NEMÁ IP adresy:
   • Skúsi vyriešiť IP z Google DNS (8.8.8.8)
   • Skúsi vyriešiť IP z Cloudflare DNS (1.1.1.1)
   • Skúsi vyriešiť IP z Quad9 DNS (9.9.9.9)
   • Skúsi vyriešiť IP z OpenDNS (208.67.222.222)
4. Každú vyriešenú IP pridá do address-listu s komentárom "URHH-IP: doména [DNS server]"
5. Ignoruje duplicitné IP adresy (ak už existujú)
6. Ignoruje 127.0.0.1 (lokálna adresa)

✅ Výhody:

• ✅ Kompletné pokrytie - doplní všetky chýbajúce IP adresy
• ✅ Viacero DNS serverov - zvýši šancu na úspešné riešenie
• ✅ Bezpečné - neprepíše existujúce záznamy
• ✅ Detailné logy - vidíš presne, čo sa deje
• ✅ Progress updates - vieš, koľko zostáva
• ✅ Automatické - nemusíš manuálne riešiť IP adresy

🔧 Technické detaily:

• 📝 Komentáre: Každá IP má komentár "URHH-IP: doména [DNS server]"
• 🔄 Retry: Skúša 4 rôzne DNS servery
• ⏱️ Timeout: Štandardný MikroTik DNS timeout (3s)
• 🚫 Skip www. - Preskakuje www. verzie domén (duplicity)
• 📊 Progress: Update každých 50 domén

⚠️ Dôležité upozornenia:

• ⚠️ Trvanie: Skript môže trvať 10-20 minút - NEPRERUSUJ ho!
• ⚠️ Záťaž: Generuje veľa DNS dotazov - môže spomaľovať MikroTik
• ⚠️ Čas: Spusti v čase nízkej záťaže (napr. v noci)
• ⚠️ Logy: Generuje veľa logov - môže zaplniť log buffer
• ⚠️ Rate limiting: Niektoré DNS servery môžu obmedziť počet dotazov

🎯 Odporúčané použitie:

1. Nasaď Dynamic Enforcement RSC súbor
2. Počkaj 15-20 minút, kým IP resolver dokončí prvotné riešenie
3. Skontroluj, koľko IP adries máš: /ip firewall address-list print count-only where list="urhh_blocked"
4. Ak je počet nízky (napr. menej ako 1000 IP), spusti Check Missing IPs
5. Počkaj na dokončenie (10-20 minút)
6. Znova skontroluj počet IP adries - mal by sa zvýšiť
7. Opakuj 1x týždenne pre udržanie kompletného address-listu

💡 TIP: Tento skript je užitočný, keď prvotný IP resolver nezískal všetky IP adresy kvôli DNS timeoutom alebo rate limitingu. Použitím viacerých DNS serverov zvýšiš šancu na úspešné riešenie.

⚠️ UPOZORNENIE: Tento skript môže trvať 10-20 minút a generuje veľa DNS dotazov. Spusti ho v čase nízkej záťaže a NEPRERUSUJ ho! Sleduj progress v logoch.

Čo robí:

• Vytvorí BIND zone súbor pre všetky URHH domény
• Vytvorí db.blocked súbor s A záznamami na 127.0.0.1
• Funguje na Ubuntu, Debian, CentOS, RedHat

Použitie:

1. Stiahni oba súbory (Zone + DB)
2. Skopíruj do /etc/bind/:
   • sudo cp urhh_blocked.zone /etc/bind/
   • sudo cp db.blocked /etc/bind/
3. Pridaj do /etc/bind/named.conf.local:
   • include "/etc/bind/urhh_blocked.zone";
4. Reload BIND: sudo systemctl reload bind9
5. Test: dig @localhost casinia.sk → má vrátiť 127.0.0.1

Výhody:

• ✅ Funguje na klasických Linux DNS serveroch
• ✅ Jednoduché nasadenie
• ✅ Automatická aktualizácia - stačí stiahnuť nový súbor

⚠️ Poznámka: Klienti môžu obísť zmenou DNS servera. Pre plné blokovanie použi firewall redirect.

Čo obsahuje balík:

• ✅ URHH BIND9 Auto-Updater - automatické sťahovanie a parsovanie URHH XML
• ✅ Inštalačné skripty - jednoduché nastavenie BIND9
• ✅ Blokovacia stránka - HTML stránka s textom o zákone č. 30/2019 Z. z.
• ✅ Webmin inštalátor - webové rozhranie pre správu servera
• ✅ Kompletná dokumentácia - QUICK_START, SAFETY, README

🚀 Rýchla inštalácia (3 kroky):

1. Rozbal ZIP: unzip urhh_bind9_complete_package_*.zip
2. Spusti inštalátor: sudo ./install_urhh_bind_updater.sh
3. Spusti updater: sudo ./urhh_bind_updater.sh

📋 Funkcie:

• 🔄 Automatická aktualizácia - sťahuje URHH XML každý pondelok (7-dňový fallback)
• 🔍 Parsovanie 850+ domén - extrahuje všetky blokované domény z XML
• ⚙️ Automatická konfigurácia BIND9 - vytvorí zone súbory a db.blocked
• 🔒 Bezpečný reload - validácia pred reload, zálohovanie
• 📧 Email notifikácie - upozornenie na zmeny (voliteľné)
• 🎨 Blokovacia stránka - nginx + HTML s informáciou o blokovaní
• 🌐 Webmin - webové rozhranie na https://IP:10000

🔒 Bezpečnosť:

• ✅ Backup pred zmenou - vytvorí named.conf.local.backup
• ✅ Detekcia existujúcich konfigurácií - upozorní na konflikty
• ✅ Interaktívne potvrdenie - pri konfliktoch (napr. nginx port 80)
• ✅ NEMAZANIE existujúcich konfigurácií - pridá VEDĽA existujúcich
• ✅ Rollback inštrukcie - v SAFETY.md

📚 Dokumentácia v balíku:

• 📄 QUICK_START.md - rýchly štart (3 kroky)
• 🔒 SAFETY.md - bezpečnostné informácie
• 📄 README.md - kompletná dokumentácia
• 📖 docs/URHH_BIND_UPDATER_README.md - detailná dokumentácia updater
• 📖 docs/BLOCK_PAGE_README.md - dokumentácia blokovacej stránky
• 📖 docs/WEBMIN_README.md - dokumentácia Webmin

💡 Použitie:

Tento balík je ideálny pre:

• ✅ Nové BIND9 DNS servery
• ✅ Existujúce servery (bezpečné - vytvorí backup)
• ✅ Automatizáciu URHH blokovania
• ✅ Servery s webovým rozhraním (Webmin)

🎯 Výhody oproti manuálnemu nastaveniu:

• ✅ Automatická aktualizácia - nemusíš manuálne sťahovať XML
• ✅ Parsovanie XML - automaticky extrahuje domény
• ✅ Validácia - kontroluje konfiguráciu pred reload
• ✅ Zálohovanie - automatické zálohy v /var/backups/bind9/urhh/
• ✅ Logy - detailné logy v /var/log/urhh_bind_updater.log
• ✅ Cron podpora - jednoduché nastavenie automatickej aktualizácie

⚠️ Poznámka: Tento balík je PRODUCTION-SAFE - bezpečný pre produkčné servery s existujúcou konfiguráciou. Vytvorí backup pred zmenou a upozorní na konflikty.

✅ Odporúčanie: Prečítaj si QUICK_START.md a SAFETY.md pred inštaláciou!