DNS CleanBrowsing : profils Family/Adult/Security, DoH/DoT et contrôle parental
Par CaptainDNS
Publié le 5 janvier 2026
- #DNS
- #CleanBrowsing
- #Résolveur DNS
- #Contrôle parental
- #Confidentialité
- #Sécurité réseau
- #DoH
- #DoT
- 📢 CleanBrowsing est un résolveur DNS public orienté filtrage (famille) avec trois profils (Family/Adult/Security) et du DNS chiffré (DoH/DoT).
- Déployez-le au routeur pour protéger tout le Wi‑Fi ; ou par appareil si vous ne contrôlez pas le réseau (mobile, laptop).
- Pour éviter les contournements, surveillez DoH intégré et les apps à DNS hardcodé, puis bloquez les sorties DNS non autorisées.
- Vérifiez en 2 minutes avec
nslookup/dig+ un domaine de test, et ajustez le profil si trop (ou pas assez) restrictif.
CleanBrowsing fait partie de ces résolveurs DNS "publics" qui ne se contentent pas de répondre vite : ils appliquent une politique de filtrage. En clair, vous ne changez pas seulement de DNS pour la performance, mais pour bloquer certaines catégories (adultes/explicites, phishing, malwares, proxies...).
Si vous suivez la série sur les résolveurs DNS publics, l'intérêt ici est différent de Google (8.8.8.8), Quad9 (9.9.9.9) ou encore Cloudflare (1.1.1.1) : CleanBrowsing vise surtout le réseau familial (et, en version payante, des usages écoles/PME), avec une approche très "contrôle parental par DNS".
Dans cet article, on va faire simple et actionnable : quel profil choisir, comment le déployer (routeur, Android, navigateur), comment vérifier, et surtout comment éviter les contournements qui font échouer 80% des déploiements "à la maison".
CleanBrowsing : c'est pour la maison, pas uniquement pour un "internet plus rapide"
CleanBrowsing propose 3 filtres gratuits "globaux" et une offre payante plus complète. Point important : sur la page des filtres gratuits, CleanBrowsing positionne clairement le gratuit comme un service "pour les parents" et annonce qu'il est throttled (débit/charge limitée) et sans support.
Conséquence pratique :
- Maison / réseau familial : le gratuit est cohérent (surtout le profil Family).
- PME / réseau pro : si vous voulez des SLA, du support, et de la gouvernance (journaux, politiques, exceptions), partez plutôt sur une offre payante ou une solution dédiée.
Actualité 2025 : le support DoH devient "first-class" chez CleanBrowsing
Pendant longtemps, beaucoup de services de filtrage DNS étaient surtout pensés "port 53". CleanBrowsing a publié en juillet 2025 une documentation indiquant que le DNS-over-HTTPS (DoH) est pleinement supporté sur son réseau, avec des endpoints dédiés par filtre (Family/Adult/Security).
Pourquoi c'est important :
- sur un Wi‑Fi (hôtel, coworking, école), le DoH chiffre vos requêtes DNS dans HTTPS ;
- vous limitez le "DNS hijacking" et l'observation passive par le réseau local ;
- côté contrôle parental, ça permet aussi de forcer CleanBrowsing dans les navigateurs qui proposent un "Secure DNS" intégré (au lieu de Cloudflare/Google par défaut).
Les 3 profils gratuits : lequel choisir ?
L'erreur classique est de choisir "au hasard", puis de subir des blocages imprévus. Choisissez d'abord votre objectif, puis appliquez le même profil partout (DNS1 et DNS2 inclus).
Vue d'ensemble : endpoints et intentions
| Profil | Idéal pour | Bloque (résumé) | SafeSearch | DNS IPv4 (port 53) | DNS IPv6 | DoH | DoT (hostname) |
|---|---|---|---|---|---|---|---|
| Family | enfants + réseau familial | adultes/explicite + proxies/VPN + sites "mixtes" (ex: Reddit) + phishing/malware | Google + Bing + YouTube | 185.228.168.168 / 185.228.169.168 | 2a0d:2a00:1:: / 2a0d:2a00:2:: | https://doh.cleanbrowsing.org/doh/family-filter/ | family-filter-dns.cleanbrowsing.org |
| Adult | adultes / bureau partagé | adultes/explicite + phishing/malware (proxies/VPN et Reddit autorisés) | Google + Bing | 185.228.168.10 / 185.228.169.11 | 2a0d:2a00:1::1 / 2a0d:2a00:2::1 | https://doh.cleanbrowsing.org/doh/adult-filter/ | adult-filter-dns.cleanbrowsing.org |
| Security | baseline sécurité (IoT, invités, petite PME) | phishing + spam + malwares + domaines malveillants (pas de contrôle parental) | non | 185.228.168.9 / 185.228.169.9 | 2a0d:2a00:1::2 / 2a0d:2a00:2::2 | https://doh.cleanbrowsing.org/doh/security-filter/ | security-filter-dns.cleanbrowsing.org |
Les IP, hostnames et endpoints ci-dessus sont ceux publiés par CleanBrowsing pour ses filtres gratuits.
Règle d'or : ne mélangez pas les filtres dans DNS1/DNS2
Mettre Family en DNS1 et "un DNS plus rapide" (ou un DNS non filtrant) en DNS2 est contre-productif : selon l'OS, la latence et les timeouts, vos appareils iront parfois sur l'autre résolveur... et votre filtrage deviendra aléatoire.
Si vous utilisez CleanBrowsing, mettez les deux IP du même filtre.
Ce que CleanBrowsing filtre et ce qu'il ne peut pas filtrer
Un filtre DNS travaille au niveau du nom de domaine.
- Il peut bloquer
captaindns-adulte.tld. - Il ne peut pas analyser une URL complète
captaindns.com/page?id=.... - Il ne "voit" pas le contenu d'une page HTTPS (chiffrement).
Conséquence : le DNS est excellent pour une barrière d'accès (adultes, phishing, malwares), mais ce n'est pas un antivirus ni un contrôle parental "sur mesure" à la minute près.
Confidentialité : chiffrer le DNS, c'est bien, savoir à qui vous parlez, c'est mieux
Trois niveaux, du plus simple au plus robuste :
-
DNS classique (port 53)
Facile à déployer au routeur, mais non chiffré sur le réseau local. -
DoT (DNS-over-TLS)
Chiffre le DNS sur un port dédié (souvent 853). Très pratique côté Android ("Private DNS") et certains routeurs/firewalls. -
DoH (DNS-over-HTTPS)
Chiffre le DNS dans HTTPS (port 443). Très courant dans les navigateurs.
Côté politique de confidentialité, CleanBrowsing indique ne pas utiliser ni stocker d'informations personnelles pour les utilisateurs du résolveur public, et ne pas recouper les données de requêtes DNS pour identifier des utilisateurs.
Dans ces conditions, CleanBrowsing mentionne aussi le traitement de données agrégées et anonymisées de requêtes DNS pour opérer et améliorer les services.
Si vous passez sur une offre payante, CleanBrowsing documente des options de rétention des logs (jusqu'à 7 jours selon la configuration) et un mode "Total Privacy" qui désactive la journalisation côté tableau de bord.
Configuration : trois scénarios concrets - routeur, Android, navigateur
Scénario 1 : Maison - config au routeur (recommandé)
Objectif : protéger tous les appareils du Wi‑Fi (TV, consoles, tablettes, invités...).
- Dans le routeur, trouvez les champs DNS primaire / secondaire (WAN, Internet, DHCP... selon les modèles).
- Entrez les 2 IP du profil choisi (ex : Family).
- Renouvelez le bail DHCP (désactiver/réactiver le Wi‑Fi, redémarrer l'appareil) puis testez.
Exemple (Family) :
- DNS1 :
185.228.168.168 - DNS2 :
185.228.169.168
Test simple recommandé par CleanBrowsing : lancer un "Standard test" sur dnsleaktest.com, ou visiter badcaptaindns.com (doit échouer si le filtre est actif).
Scénario 2 : Android - DoT via "Private DNS" (propre et efficace)
Objectif : chiffrer le DNS sur le téléphone, même hors de chez vous.
Dans Android, allez sur Réseau et Internet → DNS privé (Private DNS), choisissez le mode "nom d'hôte du fournisseur" et saisissez :
- Family :
family-filter-dns.cleanbrowsing.org - Adult :
adult-filter-dns.cleanbrowsing.org - Security :
security-filter-dns.cleanbrowsing.org
Astuce : sur Android, l'activation de DoT peut "écraser" le DNS du Wi‑Fi. Si vous avez déjà CleanBrowsing au routeur, gardez la cohérence. Private DNS doit aussi pointer vers CleanBrowsing, sinon vous annulez votre stratégie.
Scénario 3 : Navigateur - DoH (utile sur laptop nomade)
Objectif : chiffrer le DNS dans le navigateur (sans toucher au reste du système).
CleanBrowsing publie des URLs DoH par filtre :
- Family :
https://doh.cleanbrowsing.org/doh/family-filter/ - Adult :
https://doh.cleanbrowsing.org/doh/adult-filter/ - Security :
https://doh.cleanbrowsing.org/doh/security-filter/
Sur Firefox/Chrome/Edge, cherchez "DNS sécurisé / Secure DNS / DNS over HTTPS" et choisissez un fournisseur personnalisé avec l'URL correspondante.
Empêcher les contournements, sinon vos enfants trouveront une solution de contournement
Même avec le DNS au routeur, deux contournements reviennent tout le temps :
- DNS hardcodé dans une app, elle ignore le DNS du système et parle directement à 8.8.8.8, 1.1.1.1, etc.
- DNS chiffré intégré (DoH/DoT) qui part vers un autre fournisseur.
CleanBrowsing documente ces cas et les stratégies associées (réglages, blocage DNS non autorisé, contrôle du DNS chiffré).
Plan de défense réaliste pour la maison :
-
Étape 1 : cohérence
Forcez CleanBrowsing partout (routeur + Private DNS Android + DoH navigateur si activé). -
Étape 2 : blocage simple (si votre routeur/firewall le permet)
Bloquez les sorties DNS vers Internet sauf :- vers le routeur, si vous faites du DNS local, ou
- vers les IP CleanBrowsing choisies.
-
Étape 3 : hygiène
Désactivez "Secure DNS" si vous ne le contrôlez pas (ou configurez-le vers CleanBrowsing).
Vérifier que ça marche
Vérification rapide, en 2 minutes
- Quel résolveur répond ?
nslookup captaindns.com
Regardez la ligne Server: : vous devez voir une IP CleanBrowsing du profil choisi.
- Test "filtrage"
- Lancez un test DNS leak "Standard", le résultat doit mentionner CleanBrowsing.
- Essayez
badcaptaindns.com: doit être inaccessible si le filtre est actif.
Si "ça ne marche pas" : les 4 causes les plus fréquentes
- Cache DNS (OS, navigateur, box) : attendez, redémarrez l'interface Wi‑Fi, videz le cache.
- IPv6 non couvert : vous avez mis l'IPv4 au routeur, mais vos clients résolvent en IPv6 ailleurs.
- DNS secondaire différent : un "autre DNS" traîne en DNS2.
- DoH/DoT actif ailleurs : navigateur ou app contourne la config système.
Déployer CleanBrowsing proprement
- Choisir le profil (Family / Adult / Security)
- Pour un Wi‑Fi familial avec enfants : partez sur Family.
- Pour un réseau partagé entre adultes : Adult, moins de faux positifs.
- Pour une approche "anti-menaces" sans contrôle parental : Security.
- Configurer au bon endroit (routeur d'abord)
- Maison : configurez au routeur pour couvrir tout le monde.
- Nomade : complétez avec DoT Android (Private DNS) ou DoH navigateur.
- Activer le chiffrement quand c'est pertinent
- Réseau non fiable (hôtel, Wi‑Fi public) : privilégiez DoT/DoH.
- Réseau familial : DoT/DoH reste utile, mais la priorité est la cohérence, même fournisseur partout.
- Fermer les contournements évidents
- Vérifiez les réglages "DNS sécurisé / Secure DNS" des navigateurs.
- Si possible, bloquez les sorties DNS vers l'extérieur sauf vers CleanBrowsing (ou votre routeur).
- Vérifier et documenter
- Testez via
nslookup+ DNS leak test +badcaptaindns.com. - Notez le profil choisi et les endpoints ; utile le jour où "Internet ne marche plus".
- Testez via
Alternatives et comment choisir
CleanBrowsing est pertinent si votre besoin principal est filtrage + SafeSearch avec un déploiement simple.
Si votre besoin est différent :
- Sécurité "pure" (phishing/malware) sans contrôle parental : regardez aussi Quad9 (9.9.9.9).
- Blocage pub/trackers : AdGuard DNS est souvent plus adapté.
- Politiques très personnalisées (listes allow/block, profils par appareil) : des services type NextDNS/ControlD ou un DNS local (Pi-hole/Unbound) avec upstream filtrant sont plus confortables.
FAQ
CleanBrowsing, c'est plutôt 'famille' ou 'entreprise' ?
Le gratuit est clairement positionné pour un usage parents/maison (throttled, pas de support). Pour une PME, préférez une offre payante (gouvernance, logs, support) ou une solution orientée entreprise.
Quel profil pour protéger des enfants sans casser tout Internet ?
Commencez par Family. Si vous avez trop de blocages (VPN, Reddit, sites mixtes), passez à Adult et complétez avec une hygiène navigateur (SafeSearch, profils enfants).
DoH ou DoT : lequel choisir avec CleanBrowsing ?
DoT (Private DNS Android) est simple et robuste sur mobile. DoH est très pratique dans les navigateurs. Dans tous les cas, l'important est de rester sur le même fournisseur partout.
Est-ce que CleanBrowsing bloque aussi les publicités et les trackers ?
Pas son objectif principal : CleanBrowsing est d'abord un filtre de contenu (adultes/menaces). Pour l'anti-pub/anti-tracking, regardez plutôt un DNS orienté "adblocking".
Pourquoi une app continue de fonctionner alors qu'elle devrait être bloquée ?
Souvent parce qu'elle utilise un DNS "en dur" (hardcodé) ou son propre DoH/DoT. Dans ce cas, il faut soit configurer l'app/le navigateur, soit bloquer les sorties DNS non autorisées au niveau du routeur/firewall.
Je peux mettre un autre DNS en secours (8.8.8.8) au cas où ?
Techniquement oui, mais ce sera un contournement : si l'appareil bascule sur le DNS de secours, le filtrage disparaît. Mieux vaut utiliser les deux IP CleanBrowsing du même filtre.
Comment revenir en arrière proprement ?
Remettez le DNS "automatique" (DHCP) sur le routeur et/ou les appareils, puis videz les caches DNS (ou redémarrez). Gardez une note des IP utilisées pour pouvoir diagnostiquer si besoin.
Glossaire
- Résolveur DNS : serveur qui traduit un nom de domaine (ex:
captaindns.com) en adresse IP. - Filtrage DNS : blocage (ou redirection) de domaines selon une politique (catégories, listes, réputation).
- DoH : DNS chiffré transporté dans HTTPS (souvent port 443).
- DoT : DNS chiffré transporté dans TLS (souvent port 853).
- SafeSearch : mode "recherche filtrée" des moteurs (Google/Bing/YouTube) que certains DNS peuvent imposer.
- DNS hardcodé : application qui ignore le DNS du système et contacte un résolveur en direct.
