2024. február 21., szerda

Gyorskeresés

Pi-hole, a reklám blokkoló (Bevezető)

Írta: | Kulcsszavak: rpi . raspberry . pi-hole . hole . adblock . reklám blokkoló

[ ÚJ BEJEGYZÉS ]

Mi is az a pi-hole? A Pi-hole® tulajdonképpen nem más, mint egy reklám blokkoló.
Hasonlóan a böngészőkhöz fellelhető reklámblokkolókhoz a nem kívánatos tartalmak kiszűrésére készítették. Felmerülhet a kérdés egyesekben, hogy mi értelme van ha a böngészőkhöz lehet mindenféle extension-t feltenni. Nos igen, de mi a helyzet az okostelefonos app-okkal, az okos televízióval? Ezekre nem mindig van megoldás vagy körülményes a reklámok és a nem kívánt tartalmak blokkolása.
Ott ahol gyermekek, idősek vagy az internet világában kevésbé járatos emberek vannak (akiket védeni kell) sosem lehet elég védelmet beiktatni.

* A reklám önmagában nem rossz! És ahhoz, hogy a gazdaság és az ökoszisztéma működjön szükség van rá. Csak hát vannak oldalak, applikációk amik átesnek a ló túloldalára.

A működésről csak annyit, hogy a DNS kérésekbe ékelődik be. A kapott nevet egy másik névfeloldó szerverhez irányítja. A külső DNS szerverekből többféle van és különféle tulajdonságokkal.
Ezekre a későbbiekben még részletesen kitérek.
Illetve arra is, hogy mi van ha Pi-Hole helyett szimplán csak beállítjuk valamelyik szűrést elvégző DNS-t.

Telepíteni nem csak Raspberry-re lehet hanem bármelyik linux disztribúcióra. Illetve van lehetőség Docker konténerben való futtatásra. Ha van docker képes NAS otthon akkor akár azon is mehet a pi-hole.
Nézzük a hagyományos telepítést.
A pi-hole oldalán 3 féle módszer elérhető, én az alábbit javaslom mert ha valamit elrontok akkor csak kilépek a telepítőből és csak újra futtatom a basic-install.sh-t
wget -O basic-install.sh https://install.pi-hole.net
sudo bash basic-install.sh

Az alábbi képeken látszik a telepítés menete (pár perc az egész)

Figyelmeztet minket a program, hogy használjunk statikus IP-t

A választható külső DNS szerverek. Telepítés után az admin felületen meg lehet változtatni ezt a beállítást
[link]
Némi magyarázat, hogy mi is a különbség az egyes DNS szerverek között.
Google: Ez az alapértelmezett DNS szolgáltató.
8.8.8.8
8.8.4.4
OpenDNS Home (by Cisco) Beépített phising szűrője van. WikiPedia bejegyzés: OpenDNS
208.67.222.222
208.67.220.220
208.67.222.220
208.67.220.222
2620:119:35::35 (IPv6)
2620:119:53::53 (IPv6)
Comodo Secure DNS Real-time block lista a kártékony weboldalakról és figyelmeztet ha potenciálisan veszélyes oldalra tévednénk.
8.26.56.26
8.20.247.20
DNS.WATCH Gyors és nem cenzúrázott DNS feloldás
84.200.69.80
84.200.70.40
2001:1608:10:25::1c04:b12f (IPv6)
2001:1608:10:25::9249:d69b (IPv6)
Quad9 Gyors és a filtered változat blokkolja a kártékony oldalakat.
9.9.9.9
149.112.112.112
2620:fe::fe (IPv6)
2620:fe::9 (IPv6)
Level3 -ról sokmindent nem találtam, leírás szerint nem szűr semmit csak ha elgépelünk valamit akkor
az a kérés át lesz irányítva a Level 3 Web Search-re. (szerintem ez a legfeleslegesebb DNS szerver lehetőség, de biztos oka van, hogy szerepel a listában)
4.2.2.1
4.2.2.2

1.1.1.1 - ez nincs benne a választható listában, viszont manapság egy népszerű kliens és a leggyorsabbnak hirdeti magát.
1.1.1.1
1.0.0.1

A gyárilag elérhető tiltó listák

Nálam a routerben vannak kezelve a statikus IP címek, ezért panaszkodik egy picit, de semmi gond. De figyelni kell, hogy az OS mindig ugyanazt az IP-t kapja, különben a név feloldás és a blokkolás nem fog működni

Webes admin felület engedélyezése

Ha nincsen más web szerverünk akkor szükség van a lighthttpd-re

És a telepítésnek vége. Jobb oldalt alul látjuk a jelszót a webes felülethez.

A használatba vételhez először azt javaslom, hogy egyik eszközünkön állítsuk be a Pi-Hole címét DNS-nek.
És ha tesztek után úgy találjuk akkor akkor célszerű az otthoni routerben véglegesíteni a beállításokat.

A következőkben lesz még szó a Webes/admin felületről, illetve a tapasztalatokról

Hozzászólások

(#1) Zirowe


Zirowe
nagyúr

Köszi a leírást, lenne pár kérdésem.

Ez mennyire terheli a pi-t?
Van egy pi zero w-m ami a teljes okosotthon infrastruktúra fut domoticz és HA bridge-el, ez elbírná még a pi hole-t vagy érdemes másik pi-re rakni?
Van-e relevanciája/kihat-e a többi eszköz böngészési sebességére az, hogy a pi hogyan kapcsolódik a routerhez (wifi/lan)?
Ezzel milyen minőségben lesznek blokkolva a reklámok: oldalak, amik teljes képernyőn sírnak, hogy kapcsoljam ki az adblockert és addig nem mehetek tovább, illetve okos tv youtube appban lévő skippelhetetlen reklám így megkerülhető?

:R

We've jumped way beyond the Red Line. Limited supplies. Limited fuel, and now no hope! But I promise you one thing. On the memory of those lying here before you, we shall find it. And Earth will become our new home. So say we all!

(#2) Krugszvele


Krugszvele
aktív tag

Én használtam pár hónapig, igaz PC-n, ott észrevétlen terhelést okozott (kb 10 eszköz ment róla)

A nagy bajom az volt, hogy a youtube reklámokat nem fogta meg, így végülis értelmetlen volt használni. A YT reklámokat semmilyen eszközön nem fogta meg, így az okostévén sem fog segíteni :(

[ Szerkesztve ]

(#3) sonar válasza Krugszvele (#2) üzenetére


sonar
addikt
LOGOUT blog

Melyik DNS-ekkel próbáltad?

#1 - eddig nem vettem észre problémát- Hozzáteszem jelenleg egy rpi2-n ketyeg és még csak 1 host "forgalma" van rá terelve. De jó ötletet adtál, hogy monitorozzam proci és mem éhségét.

A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!

(#4) Gargouille


Gargouille
őstag

Bennem a pi hole-al kapcsolatban mindig két kérdés merül fel:

1. Alap esetben a DNS forgalom titkosítatlan. Ezért lehet könnyen manipulálni. Sokak szerint ez már most sem kívánatos állapot, így csak idő kérdése, hogy általánossá váljon valamilyen DNS over TLS vagy egyéb megoldás, ahol a kliens és a DNS szerver közötti forgalom titkosítva van, így nem manipulálható. Ha ez az idő eljön, akkor sok reklámblokkoló megoldás kútba fog esni. Sőt, akár az az idő is eljöhet amikor az alkalmazások készítői gyárilag belevasalják, hogy az adott program csak és kizárólagosan a gyártó által megadott DNS-t használja, függetlenül attól, hogy te mit állítasz be magának a gépnek. Ha titkosított a DNS kapcsolat és nem tudod befolyásolni, hogy milyen DNS szervert használjon a program, akkor nem fogsz tudni szűrni, legalábbis nem DNS alapon.

2. A pi hole lényegében egy közbeékelődéses "támadás", vagyis a kliens és a DNS szerver közé ékelődik és a nem kívánt forgalmat másfelé tereli. Ha kompromittálódik az eszköz (vagy a blokkolt bejegyzések listája ami alapján dolgozik), akkor egy komoly biztonsági probléma keletkezik hirtelen. Nyilván ha statikus lista alapján dolgozik és soha nem frissíti az ember, akkor ennek kevesebb az esélye.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#5) sonar válasza Gargouille (#4) üzenetére


sonar
addikt
LOGOUT blog

1. Úgy gonolom ettől még messze vagyunk, illetve ha IP cim van megadva akkor most se filterezi semmi.
2. igen, így működik minden ad blocker. Azt ne felejtsd el, hogy az RPi egy router mögött van, és jó eséllyel befelé nem nyitsz portot, tehát a kompromittálódásnak a valószínűsége nem több, mint egyéb más esetekben.

De tudni kell, hogy mi a cél.
Tudsz esetleg jobb módszert amivel az otthoni hálózaton a nem kívánatos honlapok, reklámok stb-k szintjét csökkenteni lehet úgy, hogy a felhasználói élmény azért megmaradjon?

A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!

(#6) denko


denko
senior tag

Ami a terhelést illeti: Kb nulla, 8 eszköznél.

Ez a mai statisztika, ebből kevés volt még a mindenféle oldal, ma csak dolgoztam kb )

Youtubbal kapcsolatban viszont valóban nem mindent blokkol, főleg a videók elején reklámokat nem, de ami közben van, azokat nagyból kiszűri, de ez nyilván azon múlik milyen block listákat használsz.

[ Szerkesztve ]

(#7) Gargouille válasza sonar (#5) üzenetére


Gargouille
őstag

1. Igen, amíg nem az alkalmazás dönti el, hogy milyen DNS-t használ addig ez oké. De azért szerintem nincs olyan messze a DNS forgalom védelme sem.

2. Az RPI router mögött van, ez igaz, de ezért írtam, hogy nem is az rpi-t kell kompromittálni, hanem elég a listát amit használ. Ha mondjuk dinamikusan frissíti az RPI a saját szűrő listáját külső forrásból, akkor elég azt támadni ahonnan a listát veszi (tehát magát a listát módosítani) és minden pi hole ami azt a listát használja máris a támadó által kívánt helyre fogja terelni a forgalmat. Nem tudom a gyakorlatban történt e már ilyen, én csak az elvi lehetőségre gondoltam.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

(#8) stickermajom válasza Krugszvele (#2) üzenetére


stickermajom
addikt

Nincs véletlenül egy reklámokkal megszórt YT videód példának? Most, hogy így mondtad, nem nagyon emlékszem a PC-n reklámokra, valami megfogja. Vagy csak olyan videókat nézek, amiknél nincs.

Ha véletlenül nem is fogja meg őket, akkor is érdemes használni. Nálam a statisztika így néz ki 18 eszköznél:

18.3% a blokkolt lekérések aránya. Rengeteg. Normál böngészés és normál eszközök mellett, nincs semmilyen kétes oldalról való sorozat vagy foci streamelés.

stickermajom bazárja - https://hardverapro.hu/aprok/hirdeto/stickermajom/index.html

(#9) denko válasza Gargouille (#7) üzenetére


denko
senior tag

Miért is?

Mert ugye ha egyes bejegyzéseket változtatja a támadó a listában saját cimekre, akkor a pihole, azokat fogja venni venni mint block listát akit nem enged a hálózatba és azokat a kéréseket kilövi az éterbe...

Ha viszont arra gondolsz hogy kártékony kdót becsemészki lista helyett, azt nem olyan biztos hogy tudja majd értelmezni a PI, mivel megadott formátumból dolgozik és sejtésem szerint egy irányú read only szimpla API requestet küld a bejezések olvasására. Gondolom én...

(#10) Krugszvele


Krugszvele
aktív tag

nem emlékszem már milyen DNSekkel próbáltam de a cloudfare 1.1.1.1 és 1.0.0.1 benne volt az biztos.
reklámokkal megszórt YT videó? nem tudok ilyenről

További hozzászólások megtekintése...
Copyright © 2000-2024 PROHARDVER Informatikai Kft.