Pi-hole – további okosságok

Ha nem voltál lusta és felraktál egy pi-hole-t ahogy javasoltam, akkor még nem vagy készen teljesen, érdemes még pár apróságot elvégezni.

A DNS alapú query-szűrőnk onnan tudja, hogy mit kell kiszűrnie, hogy szorgos kezek un. blocklisteket építenek, ahol listázzák azokat a domaineket, amelyek tehetnek arról, hogy csomó szemetet töltsünk le békés böngészés közben. Ezek a blocklistek egyszerű szövegfájlok, amelyek minden sora egy gonosz domain, soktízezer sorból állnak és nagyjából így néznek ki:

000dom.revenuedirect.com
000free.us
000freeporn.com
000freexxx.com
000hhjq.rxportalhosting.com
000host.totaocimall.com
000jnh.com
000keca.wcomhost.com
000lk3v.wcomhost.com
000lkub.rcomhost.com
000ll4q.rcomhost.com
000lp59.wcomhost.com
000m8ih.wcomhost.com
000m9w3.wcomhost.com
000macu.wcomhost.com
000ms3q.wcomhost.com
000mssi.wcomhost.com
000nt6r.wcomhost.com
000owamail0.000webhostapp.com

Alapból persze kapunk pár blocklistet, ha figyelmesen megnézzük a piros mezőt, akkor látjuk, hogy száztizenháromezer domain van halállistán.

Ez jó kezdet, már az alapból feltelepülő hét blocklist is kellemes közérzetet biztosít, de legyünk szigorúbbak, keményen játszunk, ne érjük be ennyivel. A webes felület beállításainál keressük meg a Blocklists tabot és adjunk hozzá egyelőre egy sort:

https://dbl.oisd.nl/

Miután a kis pi-holunk lerángatta a fájlt, frissítette magát, elvégezte a blocklistek konszolidálását, a duplikációk kiganézását, a kis szerverünk már sokkal morcosabban fog hozzáállni a hálózati forgalmunkhoz, halállistánk kb. a tízszeresére nő.

Természetesen ennek vannak következményei is, ahogy nő a lsita, megnő a fals-pozitív találatok lehetősége, és persze több memóriát is kell felhasználnunk, hogy tároljuk a sok gonosz domaint, a kis Pi Zero-n az új, bővített lista már 28-29% memóriát igényel, de ez még mindig a simán elviselhető mérték, úgysincs semmi más dolga a vasnak, mint egyelni a queryket.

Természetesen, ha a hardverünk bírja, akkor egészen őrült mennyiségű blocklistet adhatunk hozzá a korábbiakhoz, attól függetlenül, hogy a szűrést mire akarjuk kihegyezni: ads, privacy, scam, coinminers, telemetry, tracking, ransomware, stb. A poszt aljára odaraktam egy elég komplex listát egy mexikói arctól, aki időt és energiát nem kímélve megcsinálta. Arra azért figyeljünk, hogy ilyen durvaságokkal kifuthatunk a Pi Zero fél gigás kis ramjából, és jó eséllyel elkezdhetjük építgetni a magunk kis whitelist-jét is, hogy azért eljussunk a tartalmakig amik valóban érdekelnek minket.

Másik érdekesség, amivel érdemes eljátszani kicsit az az un. REGEX (regular expression) lista, amellyel mi magunk feketelistázhatunk szívünknek kedves kifejezéseket és ezt egészen részletesen wildcardozhatjuk.

Ez egy igen gyors szűrési megoldás lehet, amivel könnyen lapátra tehetünk olyan, esetleg helyi domainokat amelyekről nem kívánunk tartalomhoz jutni, de a nagy globális listákon nem szerepelnek vagy nem úgy, ahogy mi szeretnénk. A regex bejegyzésekkel érdemes óvatosan bánni, különösen, ha saját blocklisteket is implementáltunk, egy esetleges fals-pozitív eredmény okát komplikáltabb lehet kinyomozni. Általános leírás a regex blacklistekről és alapos tutorial.

A blocklistek és blacklistek mellett érdemes odafigyelni arra is, hogy bár a hálózaton belülről nézve, a kliensek mind a Pi-hole-t használják DNS-nek, de a Pi-hole maga igényel valamiféle DNS-t odakint a hidegben. Alapból már telepítésnél megkérdezi a rendszer, hogy milyen DNS-t akarunk használni, fel is ajánl pár lehetőséget (google, cloudflare, comodo, stb.) de később is adhatunk meg újabbakat, ha esetleg privacy aggályaink lennének vagy biztosak akarunk lenni abban, hogy a DNS-ünk fel van vértezve DNSSEC-el, DNS-over-HTTPS vagy hasonló biztonsági szolgáltatással. A Google DNS-e például ilyen, de lehet, hogy valakit zavar, hogy a forgalmát adatgyűjtésre használhatja egy reklámokból élő cég.

Az alábbi listán szereplő IPv4 DNS-eket mindenki kipróbálghathatja magának, érdemes utánaolvasni, hogy melyik micsoda, esetleg ki a tulajdonosa, szűrnek-e valamit amit mi szűretlenül szeretünk, mint a búzasört, van-e amelyik nem nyújt pl. DNSSEC-et, stb. A lista korántsem teljes, de viszonylag friss és szinte biztosan jobban járunk bármelyikkel, mint a saját szolgáltatónk által automatikusan kiosztottal.

Provider	Primary DNS Server	Secondary DNS Server
CenturyLink	   209.244.0.3	209.244.0.4
Verisign	     64.6.64.6	64.6.65.6
GreenTeamDNS	 81.218.119.11	209.88.198.133
SafeDNS	          195.46.39.39	195.46.39.40
OpenNIC	        198.206.14.241	172.98.193.42
SmartViper	  208.76.50.50	208.76.51.51
Dyn	         216.146.35.35	216.146.36.36
FreeDNS	            45.33.97.5	37.235.1.177
Alternate DNS	198.101.242.72	23.253.163.53
UncensoredDNS	91.239.100.100	89.233.43.71
Hurricane Electric	         74.82.42.42	
puntCAT	                         109.69.8.51	
Neustar	          156.154.70.1	156.154.71.1
Fourth Estate	 45.77.165.194	
CleanBrowsing	 185.228.168.9	185.228.169.9
AdGuard	       176.103.130.130	176.103.130.131
Tenta	        99.192.182.100	99.192.182.101
FDN	          80.67.169.12	80.67.169.40

És akkor itt a blocklist-lista, a fájlnevek adnak tippet, hogy melyik lista mire van kiélezve. Ha összeraktuk azokat a listákat, amelyektől könnyebb az életünk, akkor a Pi-hole nem igényel további piszkálást, csinálja a dolgát szorgosan.

https://raw.githubusercontent.com/hectorm/hmirror/master/data/adaway.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/adblock-nocoin-list/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/adguard-simplified/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/anudeepnd-adservers/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-ad/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-malvertising/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-malware/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-tracking/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/easylist/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/easyprivacy/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/eth-phishing-detect/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.2o7net/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.dead/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.risk/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.spam/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/kadhosts/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/malwaredomainlist.com/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/malwaredomains.com-immortaldomains/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/malwaredomains.com-justdomains/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/matomo.org-spammers/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/mitchellkrogza-badd-boyz-hosts/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/pgl.yoyo.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/ransomwaretracker.abuse.ch/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/someonewhocares.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/spam404.com/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/stevenblack/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/winhelp2002.mvps.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/zerodot1-coinblockerlists-browser/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/zeustracker.abuse.ch/list.txt https://raw.githubusercontent.com/CHEF-KOCH/Audio-fingerprint-pages/master/AudioFp.txt https://raw.githubusercontent.com/CHEF-KOCH/Canvas-fingerprinting-pages/master/Canvas.txt https://raw.githubusercontent.com/CHEF-KOCH/WebRTC-tracking/master/WebRTC.txt https://raw.githubusercontent.com/CHEF-KOCH/CKs-FilterList/master/Anti-Corp/hosts/NSABlocklist.txt https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt https://www.stopforumspam.com/downloads/toxic_domains_whole.txt

3 hozzászólás “Pi-hole – további okosságok” bejegyzéshez

  1. Vettem egy zero w-t tápegységgel, azt hiszem sikerült a raspbiant is rátenni az SD kártyára, most mit kell csinálni? Ehhez az izéhez nem kell venni még periférákat? (monitor, egér stb).

    1. rákötheted a tévédre is, ha nincs monitorod… a konfiguráláshoz kell egy billentyűzet de a működéshez nem kell, csak táp, aztán csinálja a dolgát.

  2. Kiprobaltam random 4-5 DNS szerver beallitast, egyik sem segitett a cyclingnews-on levo sok szaron 🙁 Azt hiszem kell egy rpi-t vennem nekem is, mert ez borzalom, hogy mar alig tudom kihamozni pl. a hozzaszolasokat a CN-on.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük