NextDNS: DNS filtering per proteggere rete aziendale e familiare

Ogni device sulla tua rete — PC, smartphone, smart TV, termostato Wi-Fi — prima di aprire una connessione fa una query DNS: chiede “qual è l’IP di questo dominio?” NextDNS si mette in mezzo a quella richiesta. Se il dominio è nella lista nera, risponde “non esiste” e la connessione non parte mai. Niente malware scaricato, niente tracker che raccolgono dati, niente pubblicità invasiva — su tutti i dispositivi, senza installare niente su ciascuno.

Come funziona il blocco DNS

Il vantaggio del filtraggio DNS è che opera a livello di rete, non di applicazione. Non serve un’estensione browser per ogni PC, non serve un profilo MDM per ogni smartphone. Configuri il DNS nel router, e tutti i device che si connettono alla rete vengono filtrati automaticamente — inclusi quelli su cui non puoi installare software (TV, IoT, console).

Quando un dispositivo cerca tracker.doubleclick.net o malware-cdn.ru, NextDNS controlla le sue blocklist (aggiornate in tempo reale) e risponde con NXDOMAIN. Il browser o l’app riceve “dominio non trovato” e si ferma. Nessun dato viene mai trasmesso al server malevolo.

Setup in 3 minuti

Crea un account gratuito su nextdns.io
Vai in Setup → copia i tuoi DNS personalizzati (assegnati al tuo account, es. 45.90.28.XXXX e 45.90.30.XXXX)
Entra nel pannello del tuo router → sezione DNS → sostituisci i DNS del provider con quelli di NextDNS

Da quel momento tutti i dispositivi della rete vengono filtrati. Su iOS e macOS puoi anche scaricare il profilo di configurazione NextDNS per attivare il filtering anche in mobilità (fuori dalla rete di casa).

Per testare che funzioni: vai su test.nextdns.io da qualsiasi browser. Deve mostrare “You are using NextDNS”.

Configurazione utile

Nel pannello NextDNS hai controllo granulare:

Blocklist: attiva con un click le liste più efficaci — NextDNS Ads & Trackers Blocklist, OISD, uBlock filters. Bastano queste tre per bloccare il 95% di tracker e pubblicità.
Allowlist: se un dominio legittimo viene bloccato per errore (falso positivo), lo aggiungi qui. Succede raramente, ma succede — soprattutto con alcuni CDN aziendali.
Parental controls: blocca categorie intere (giochi, social media, contenuti adulti) e puoi applicarle per fascia oraria. “Niente YouTube dopo le 22” si configura in 30 secondi.
Privacy: disabilita DoH (DNS over HTTPS) dei browser per forzarli a usare il DNS di sistema, altrimenti Chrome e Firefox bypassano il tuo filtro.

Log e analytics: nel tab Logs vedi ogni query DNS in tempo reale, con il nome del dispositivo, il dominio cercato e se è stato bloccato o permesso. È utile per scoprire cosa fa un dispositivo IoT — molti chiamano server di telemetria decine di volte al giorno.

Costo e alternative

Il piano gratuito copre 300.000 query/mese — una famiglia con 5 dispositivi attivi consuma circa 50-100k query/mese, quindi non le finisce mai. Il piano Pro costa €2/mese per query illimitate e log estesi (7 giorni invece di 24 ore).

Se vuoi più controllo e hai un Raspberry Pi libero: Pi-hole è self-hosted, zero dipendenze da servizi esterni, ma richiede configurazione manuale delle blocklist e non ha app mobile per il filtering fuori rete. AdGuard Home è simile a Pi-hole ma con UI migliore e aggiornamenti più frequenti — entrambi sono gratis e ottimi per chi vuole pieno controllo.

Per uso aziendale senza infrastruttura dedicata, NextDNS Pro è difficile da battere su semplicità/costo.

Cosa fare

Configura NextDNS sul router adesso: ci vogliono 3 minuti e il piano gratuito è sufficiente per una rete domestica o un piccolo ufficio
Attiva le blocklist NextDNS Ads & Trackers Blocklist + OISD come punto di partenza, poi guarda i log per 24 ore prima di aggiungere altre liste più aggressive
Se hai bambini in casa, configura il profilo “Parental Controls” con il blocco per fascia oraria — è più efficace di qualsiasi app di controllo parentale installata sul singolo device