Ha nem voltál lusta és felraktál egy pi-hole-t ahogy javasoltam, akkor még nem vagy készen teljesen, érdemes még pár apróságot elvégezni.
A DNS alapú query-szűrőnk onnan tudja, hogy mit kell kiszűrnie, hogy szorgos kezek un. blocklisteket építenek, ahol listázzák azokat a domaineket, amelyek tehetnek arról, hogy csomó szemetet töltsünk le békés böngészés közben. Ezek a blocklistek egyszerű szövegfájlok, amelyek minden sora egy gonosz domain, soktízezer sorból állnak és nagyjából így néznek ki:
000dom.revenuedirect.com 000free.us 000freeporn.com 000freexxx.com 000hhjq.rxportalhosting.com 000host.totaocimall.com 000jnh.com 000keca.wcomhost.com 000lk3v.wcomhost.com 000lkub.rcomhost.com 000ll4q.rcomhost.com 000lp59.wcomhost.com 000m8ih.wcomhost.com 000m9w3.wcomhost.com 000macu.wcomhost.com 000ms3q.wcomhost.com 000mssi.wcomhost.com 000nt6r.wcomhost.com 000owamail0.000webhostapp.com
Alapból persze kapunk pár blocklistet, ha figyelmesen megnézzük a piros mezőt, akkor látjuk, hogy száztizenháromezer domain van halállistán.
Ez jó kezdet, már az alapból feltelepülő hét blocklist is kellemes közérzetet biztosít, de legyünk szigorúbbak, keményen játszunk, ne érjük be ennyivel. A webes felület beállításainál keressük meg a Blocklists tabot és adjunk hozzá egyelőre egy sort:
https://dbl.oisd.nl/Miután a kis pi-holunk lerángatta a fájlt, frissítette magát, elvégezte a blocklistek konszolidálását, a duplikációk kiganézását, a kis szerverünk már sokkal morcosabban fog hozzáállni a hálózati forgalmunkhoz, halállistánk kb. a tízszeresére nő.
Természetesen ennek vannak következményei is, ahogy nő a lsita, megnő a fals-pozitív találatok lehetősége, és persze több memóriát is kell felhasználnunk, hogy tároljuk a sok gonosz domaint, a kis Pi Zero-n az új, bővített lista már 28-29% memóriát igényel, de ez még mindig a simán elviselhető mérték, úgysincs semmi más dolga a vasnak, mint egyelni a queryket.
Természetesen, ha a hardverünk bírja, akkor egészen őrült mennyiségű blocklistet adhatunk hozzá a korábbiakhoz, attól függetlenül, hogy a szűrést mire akarjuk kihegyezni: ads, privacy, scam, coinminers, telemetry, tracking, ransomware, stb. A poszt aljára odaraktam egy elég komplex listát egy mexikói arctól, aki időt és energiát nem kímélve megcsinálta. Arra azért figyeljünk, hogy ilyen durvaságokkal kifuthatunk a Pi Zero fél gigás kis ramjából, és jó eséllyel elkezdhetjük építgetni a magunk kis whitelist-jét is, hogy azért eljussunk a tartalmakig amik valóban érdekelnek minket.
Másik érdekesség, amivel érdemes eljátszani kicsit az az un. REGEX (regular expression) lista, amellyel mi magunk feketelistázhatunk szívünknek kedves kifejezéseket és ezt egészen részletesen wildcardozhatjuk.
Ez egy igen gyors szűrési megoldás lehet, amivel könnyen lapátra tehetünk olyan, esetleg helyi domainokat amelyekről nem kívánunk tartalomhoz jutni, de a nagy globális listákon nem szerepelnek vagy nem úgy, ahogy mi szeretnénk. A regex bejegyzésekkel érdemes óvatosan bánni, különösen, ha saját blocklisteket is implementáltunk, egy esetleges fals-pozitív eredmény okát komplikáltabb lehet kinyomozni. Általános leírás a regex blacklistekről és alapos tutorial.
A blocklistek és blacklistek mellett érdemes odafigyelni arra is, hogy bár a hálózaton belülről nézve, a kliensek mind a Pi-hole-t használják DNS-nek, de a Pi-hole maga igényel valamiféle DNS-t odakint a hidegben. Alapból már telepítésnél megkérdezi a rendszer, hogy milyen DNS-t akarunk használni, fel is ajánl pár lehetőséget (google, cloudflare, comodo, stb.) de később is adhatunk meg újabbakat, ha esetleg privacy aggályaink lennének vagy biztosak akarunk lenni abban, hogy a DNS-ünk fel van vértezve DNSSEC-el, DNS-over-HTTPS vagy hasonló biztonsági szolgáltatással. A Google DNS-e például ilyen, de lehet, hogy valakit zavar, hogy a forgalmát adatgyűjtésre használhatja egy reklámokból élő cég.
Az alábbi listán szereplő IPv4 DNS-eket mindenki kipróbálghathatja magának, érdemes utánaolvasni, hogy melyik micsoda, esetleg ki a tulajdonosa, szűrnek-e valamit amit mi szűretlenül szeretünk, mint a búzasört, van-e amelyik nem nyújt pl. DNSSEC-et, stb. A lista korántsem teljes, de viszonylag friss és szinte biztosan jobban járunk bármelyikkel, mint a saját szolgáltatónk által automatikusan kiosztottal.
Provider Primary DNS Server Secondary DNS Server
CenturyLink 209.244.0.3 209.244.0.4
Verisign 64.6.64.6 64.6.65.6
GreenTeamDNS 81.218.119.11 209.88.198.133
SafeDNS 195.46.39.39 195.46.39.40
OpenNIC 198.206.14.241 172.98.193.42
SmartViper 208.76.50.50 208.76.51.51
Dyn 216.146.35.35 216.146.36.36
FreeDNS 45.33.97.5 37.235.1.177
Alternate DNS 198.101.242.72 23.253.163.53
UncensoredDNS 91.239.100.100 89.233.43.71
Hurricane Electric 74.82.42.42
puntCAT 109.69.8.51
Neustar 156.154.70.1 156.154.71.1
Fourth Estate 45.77.165.194
CleanBrowsing 185.228.168.9 185.228.169.9
AdGuard 176.103.130.130 176.103.130.131
Tenta 99.192.182.100 99.192.182.101
FDN 80.67.169.12 80.67.169.40És akkor itt a blocklist-lista, a fájlnevek adnak tippet, hogy melyik lista mire van kiélezve. Ha összeraktuk azokat a listákat, amelyektől könnyebb az életünk, akkor a Pi-hole nem igényel további piszkálást, csinálja a dolgát szorgosan.
https://raw.githubusercontent.com/hectorm/hmirror/master/data/adaway.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/adblock-nocoin-list/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/adguard-simplified/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/anudeepnd-adservers/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-ad/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-malvertising/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-malware/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/disconnect.me-tracking/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/easylist/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/easyprivacy/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/eth-phishing-detect/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.2o7net/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.dead/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.risk/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/fademind-add.spam/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/kadhosts/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/malwaredomainlist.com/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/malwaredomains.com-immortaldomains/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/malwaredomains.com-justdomains/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/matomo.org-spammers/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/mitchellkrogza-badd-boyz-hosts/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/pgl.yoyo.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/ransomwaretracker.abuse.ch/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/someonewhocares.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/spam404.com/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/stevenblack/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/winhelp2002.mvps.org/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/zerodot1-coinblockerlists-browser/list.txt https://raw.githubusercontent.com/hectorm/hmirror/master/data/zeustracker.abuse.ch/list.txt https://raw.githubusercontent.com/CHEF-KOCH/Audio-fingerprint-pages/master/AudioFp.txt https://raw.githubusercontent.com/CHEF-KOCH/Canvas-fingerprinting-pages/master/Canvas.txt https://raw.githubusercontent.com/CHEF-KOCH/WebRTC-tracking/master/WebRTC.txt https://raw.githubusercontent.com/CHEF-KOCH/CKs-FilterList/master/Anti-Corp/hosts/NSABlocklist.txt https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt https://www.stopforumspam.com/downloads/toxic_domains_whole.txt
Vettem egy zero w-t tápegységgel, azt hiszem sikerült a raspbiant is rátenni az SD kártyára, most mit kell csinálni? Ehhez az izéhez nem kell venni még periférákat? (monitor, egér stb).
rákötheted a tévédre is, ha nincs monitorod… a konfiguráláshoz kell egy billentyűzet de a működéshez nem kell, csak táp, aztán csinálja a dolgát.
Kiprobaltam random 4-5 DNS szerver beallitast, egyik sem segitett a cyclingnews-on levo sok szaron 🙁 Azt hiszem kell egy rpi-t vennem nekem is, mert ez borzalom, hogy mar alig tudom kihamozni pl. a hozzaszolasokat a CN-on.