Köszi a leírást, lenne pár kérdésem.

Ez mennyire terheli a pi-t?
Van egy pi zero w-m ami a teljes okosotthon infrastruktúra fut domoticz és HA bridge-el, ez elbírná még a pi hole-t vagy érdemes másik pi-re rakni?
Van-e relevanciája/kihat-e a többi eszköz böngészési sebességére az, hogy a pi hogyan kapcsolódik a routerhez (wifi/lan)?
Ezzel milyen minőségben lesznek blokkolva a reklámok: oldalak, amik teljes képernyőn sírnak, hogy kapcsoljam ki az adblockert és addig nem mehetek tovább, illetve okos tv youtube appban lévő skippelhetetlen reklám így megkerülhető?

We've jumped way beyond the Red Line. Limited supplies. Limited fuel, and now no hope! But I promise you one thing. On the memory of those lying here before you, we shall find it. And Earth will become our new home. So say we all!

Én használtam pár hónapig, igaz PC-n, ott észrevétlen terhelést okozott (kb 10 eszköz ment róla)

A nagy bajom az volt, hogy a youtube reklámokat nem fogta meg, így végülis értelmetlen volt használni. A YT reklámokat semmilyen eszközön nem fogta meg, így az okostévén sem fog segíteni

[ Szerkesztve ]

Melyik DNS-ekkel próbáltad?

#1 - eddig nem vettem észre problémát- Hozzáteszem jelenleg egy rpi2-n ketyeg és még csak 1 host "forgalma" van rá terelve. De jó ötletet adtál, hogy monitorozzam proci és mem éhségét.

A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!

Bennem a pi hole-al kapcsolatban mindig két kérdés merül fel:

1. Alap esetben a DNS forgalom titkosítatlan. Ezért lehet könnyen manipulálni. Sokak szerint ez már most sem kívánatos állapot, így csak idő kérdése, hogy általánossá váljon valamilyen DNS over TLS vagy egyéb megoldás, ahol a kliens és a DNS szerver közötti forgalom titkosítva van, így nem manipulálható. Ha ez az idő eljön, akkor sok reklámblokkoló megoldás kútba fog esni. Sőt, akár az az idő is eljöhet amikor az alkalmazások készítői gyárilag belevasalják, hogy az adott program csak és kizárólagosan a gyártó által megadott DNS-t használja, függetlenül attól, hogy te mit állítasz be magának a gépnek. Ha titkosított a DNS kapcsolat és nem tudod befolyásolni, hogy milyen DNS szervert használjon a program, akkor nem fogsz tudni szűrni, legalábbis nem DNS alapon.

2. A pi hole lényegében egy közbeékelődéses "támadás", vagyis a kliens és a DNS szerver közé ékelődik és a nem kívánt forgalmat másfelé tereli. Ha kompromittálódik az eszköz (vagy a blokkolt bejegyzések listája ami alapján dolgozik), akkor egy komoly biztonsági probléma keletkezik hirtelen. Nyilván ha statikus lista alapján dolgozik és soha nem frissíti az ember, akkor ennek kevesebb az esélye.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

1. Úgy gonolom ettől még messze vagyunk, illetve ha IP cim van megadva akkor most se filterezi semmi.
2. igen, így működik minden ad blocker. Azt ne felejtsd el, hogy az RPi egy router mögött van, és jó eséllyel befelé nem nyitsz portot, tehát a kompromittálódásnak a valószínűsége nem több, mint egyéb más esetekben.

De tudni kell, hogy mi a cél.
Tudsz esetleg jobb módszert amivel az otthoni hálózaton a nem kívánatos honlapok, reklámok stb-k szintjét csökkenteni lehet úgy, hogy a felhasználói élmény azért megmaradjon?

A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!

Ami a terhelést illeti: Kb nulla, 8 eszköznél.

Ez a mai statisztika, ebből kevés volt még a mindenféle oldal, ma csak dolgoztam kb )

Youtubbal kapcsolatban viszont valóban nem mindent blokkol, főleg a videók elején reklámokat nem, de ami közben van, azokat nagyból kiszűri, de ez nyilván azon múlik milyen block listákat használsz.

[ Szerkesztve ]

1. Igen, amíg nem az alkalmazás dönti el, hogy milyen DNS-t használ addig ez oké. De azért szerintem nincs olyan messze a DNS forgalom védelme sem.

2. Az RPI router mögött van, ez igaz, de ezért írtam, hogy nem is az rpi-t kell kompromittálni, hanem elég a listát amit használ. Ha mondjuk dinamikusan frissíti az RPI a saját szűrő listáját külső forrásból, akkor elég azt támadni ahonnan a listát veszi (tehát magát a listát módosítani) és minden pi hole ami azt a listát használja máris a támadó által kívánt helyre fogja terelni a forgalmat. Nem tudom a gyakorlatban történt e már ilyen, én csak az elvi lehetőségre gondoltam.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Nincs véletlenül egy reklámokkal megszórt YT videód példának? Most, hogy így mondtad, nem nagyon emlékszem a PC-n reklámokra, valami megfogja. Vagy csak olyan videókat nézek, amiknél nincs.

Ha véletlenül nem is fogja meg őket, akkor is érdemes használni. Nálam a statisztika így néz ki 18 eszköznél:

18.3% a blokkolt lekérések aránya. Rengeteg. Normál böngészés és normál eszközök mellett, nincs semmilyen kétes oldalról való sorozat vagy foci streamelés.

Miért is?

Mert ugye ha egyes bejegyzéseket változtatja a támadó a listában saját cimekre, akkor a pihole, azokat fogja venni venni mint block listát akit nem enged a hálózatba és azokat a kéréseket kilövi az éterbe...

Ha viszont arra gondolsz hogy kártékony kdót becsemészki lista helyett, azt nem olyan biztos hogy tudja majd értelmezni a PI, mivel megadott formátumból dolgozik és sejtésem szerint egy irányú read only szimpla API requestet küld a bejezések olvasására. Gondolom én...

nem emlékszem már milyen DNSekkel próbáltam de a cloudfare 1.1.1.1 és 1.0.0.1 benne volt az biztos.
reklámokkal megszórt YT videó? nem tudok ilyenről

Nem egészen így működik. A listáról ip címeket tölt be magának, amikre ha kérés érkezik, azt nem oldja fel a kliensnek / helyben üres pixelt küld helyette. Alig hinném hogy nem szűri a pi a listát, hogy csak ip-címeket fogadjon el bemenetnek.
Btw dns kérést kényszerítheted, hogy merre menjen. A program hiába kéri az xy dns szervert, ha te nem engeded. Max nem működik majd a program.
Viszont a DNS over HTTPs már egy létező dolog. És szvsz egy óriási öngól.

...csak én vagyok helikopter?

Igaz, ha nem máshová irányítja hanem a kukába dobja a kérést, akkor nem gáz.

Tudom, hogy létezik a DNS over HTTPs (is), csak még nem általános. Kétélű fegyver mert egyrészt tényleg nem teljesen oké, hogy a DNS kérések plaintext-ként mászkálnak (lehetőséget ad a támadásra is meg bizonyos dolgok megfigyelésére), másfelől viszont sokszor szükség van rá, hogy egy hálózaton belül legális okból belenyúlj, azt meg igencsak megnehezítené.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

Én évek óta használom megelégedetten. A v5-re átállás után, viszont észrevettem, hogy több minden jön át a reklámokból.
Ki milyen listákból dolgozik ?

Jó ideje használom (egy Orange Pi Zero + Armbian kombón) és valami kegyetlen jó.
Amúgy ajánlom mindenkinek a DoT vagy DoH DNS-t (inkább Cloudflare, mint Google). Nálam az Asus router Merlinnel támogatja alapból a DoT DNS-t, de arra jöttem rá, hogy gyorsabb és jobb, ha a Pihole kütyün telepítem a Cloudflared csomagot a DoH-hoz, és az upstream DNS a Pihole lesz, nem a router. A DHCP-t hagytam a routeren.
Nos, most valami kegyetlen gyors a DNS, kódolt, és alig van reklám. Szóval nagyon, de nagyon jó. Az pedig, hogy helyi hálózatban belenyúlni a DNS-be? Persze, céges hálózatban és ott is megfigyelés vagy korlátozás miatt. Otthon is lehet rá szükség, de teljes egészében kerülöm, hogy ne legyen. Legyen a DNS is csak szépen kódolva. Mellé egy VPN (most már Wireguard) és pá-pá megfigyelés. Nem vagyok parás, de senkire sem tartozik, hogy mit és mikor nézek. Ahogy a személyim sem ragasztom ki a pólómra minden adatommal, így az online lenyomatomat sem.

Ami nem igazán működik, az a DNSSEC. Valamiért nem akar rendesen működni. Nem annyira vészes, de jó lenne, ha működne. Különben a CF 1.1.1.1/help oldala tévesen mutatja az eredményeket, ha be van kapcsolva a DNSSEC, erre érdemes figyelni.

Ki milyen listát használ? Esetleg magyar webre spéci lista?

"Akinek pénze van, az ne zavarja dolgozással a mások munkáját " R.J.

Az adblock plus szűrőlistáját lehet valahogy konvertálni hogy a pi-hole benyelje?

A youtubbal sikerült valakinek reklám mentességet elérni a piholeal? Minden megoldás érdekel.

Ezzel szendvedek épp. A sunshine.it -nek van egy YT adblock video listája, ami fel is van töltve, de adlists.list -hez hozzáadva dob egy unable hibát.