Pi-hole 2.12

Pi-hole logo (75 pix) Pi-hole is een advertising-aware dns- en webserver bedoeld om te draaien op een Raspberry Pi in jouw netwerk. Wanneer er een verzoek van elk willekeurig apparaat binnenkomt om een reclamedomein te benaderen, zal Pi-hole dit ombuigen naar zichzelf. Hierdoor zullen pagina's sneller laden en kan er in potentie ook malware buiten de deur worden gehouden. Voor meer informatie verwijzen we jullie door naar de uitleg en video's op deze pagina, of deze handleiding van Tweaker jpgview. De ontwikkelaars achter Pi-hole hebben versie 2.12 uitgebracht en hier zijn de volgende veranderingen en verbeteringen in aangebracht:

New

DNSSEC support #1128

Wildcard blacklisting support #1065

Allow multiple DNS servers #1135

Tweaks

Remove pihole -s #1176

Customized firewall configuration #1149

Be able to disable the DHCP domain name #1150

Only ignore DOWN interfaces, allow tun devices to be selected #1143

Change upstream DNS selection in installer from radio to menu #1156

Catch log file sizes in debug output #1160

Full URL to sudo curl #1166

Fixes

Misc code cleanups and tweaks #1119, #1173, #1174

Check for existence of iptables along with kernel module #1136

Make sure chronometer always shows same values as web interface #1131

Read all lines of the adlist file #1132

Update adlists.default #1147

Use CIDR for IPv4 addressing. #1151

Install blocking page CSS on initial installation. #1180

Pi-hole dashboard

Lees meer

IT-banen

Reacties (72)

jpgview

Pi-hole

29 januari 2017 11:20

Ik heb de ontwikkeling van v2.12 gevolgd op github en ben daardoor vrij vroeg aan de slag gegaan met wildcard blacklisting en DNSSEC.
Wildcard blacklisting werkt prima. Momenteel heb ik volgende domains geblocked:
ligatus.com
gigya.com
trackuity.com
bannerflow.com
doubleclick.net
clicksgear.com
telemetry.microsoft.com
DNSSEC echter is een ander verhaal. Heb een en ander onderzocht en kom tot deze conclusie. De bevindingen gelden voor raspbian jessie lite. Je kan het dus aan de praat krijgen als je bereid bent om dnsmasq te upgraden. Als je reeds versie 2.74 (dnsmasq --version) of hoger draait (op een andere distro), hoort het te werken. Om pihole beter te maken heb ik deze feature request gelogd. DNSSEC werkt, maar het internet lijkt er niet klaar voor, er zijn vrijwel geen domains die de status secure krijgen, voornamelijk omdat ze blijkbaar hun DNS niet correct opgezet hebben. Je kan een domain testen op deze site.
De developers hebben nu ook logrotation (niet vermeld in het artikel) geimplementeerd. Je kan (zij die het nodig hebben) het log naar een gmail account mailen als je een scriptje maakt en een cron job. Omdat logrotation nu geimplemeteerd is, moet je de instructies voor pihole.log.1 volgen.
Opgelet als je DNScrypt wil implementeren! DNScrypt-loader werkt niet meer met de laatste versie. Je dient de instructies aan te passen zodat je versie 1.9.1 gebruikt (last known good). Dit zal hopelijk opgelost worden in de toekomst

[Reactie gewijzigd door jpgview op 24 juli 2024 22:10]

Belgar @jpgview • 29 januari 2017 13:17

Wat is het voordeel van dnscrypt-loader tov van gewoon dnscrpyt service? Als je slechts een paar servers nodig hebt kan ik zo snel niet echt een voordeel vinden.

jpgview

Pi-hole

@Belgar • 29 januari 2017 13:51

ik heb, in een ver verleden, gepoogd dnscrypt aan de praat te krijgen met deze instructies maar helaas, ben er nooit uitgeraakt...
Ik lees nu, hieronder, reactie van Qpad, dat er toch iemand in geslaagd is. Heb Qpad een paar vraagjes gesteld, omdat het enige voordeel tot hiertoe is, dat de methode met dnscrypt-loader een pihole upgrade overleeft, met dnscrypt moet hij een en ander opnieuw aanpassen.
Als Qpad een en ander verduidelijkt, zal ik zeker overstappen op dnscrypt (eliminate the loader)
Het spijtige van tweakers.net is dat de meeste tweakers wel zeggen dat ze iets anders hebben gedaan, maar weinigen zeggen hoe. Qpad is een van de uitzonderingen.

[Reactie gewijzigd door jpgview op 24 juli 2024 22:10]

Belgar @jpgview • 29 januari 2017 14:00

Ik heb ook de wiki gebruikt en die werkt verder perfect.. De wiki is overigens ook gereviewed door de maker van dnscrypt zelf afgelopen maand. (ik ben 1 van de wiki mainteners en zag dat toevallig)

Als je de wiki volgt is ook die aanpassing van je file niet nodig elke keer.

Mijn dnscrypt heeft al 4 upgrades overleeft en nooit wat aan hoeven passen

jpgview

Pi-hole

@Belgar • 29 januari 2017 14:02

graag een link, met dank...

Belgar @jpgview • 29 januari 2017 14:05

De link heb je zelf al in je post:

https://github.com/pi-hole/pi-hole/wiki/DNSCrypt

Hij is de afgelopen maanden 40 keer verbeterd en aangepast. Mocht je in het verleden vastgelopen zijn kan ik aanbevelen toch nog eens de wiki te doorlopen.

jpgview

Pi-hole

@Belgar • 31 januari 2017 13:37

Ik heb ondertussen dnscrypt-proxy aan de praat gekregen en vermoed (Ik kan verkeerd zijn) dat ik gevonden heb waarom het de laatste keer niet werkte. In deze rar file kan je de bestanden bekijken die ik gebruik. Ik heb echter poorten boven 1024 gebruikt (zoals je in de bestanden kan zien). Ik vond deze wiki, waarin de volgende quote:
the port number is larger than 1024 so dnscrypt-proxy is not required to be run by root
Verder lijkt het mij, dat er nog wel extra configuratie nodig is, de wiki, waar jij naar verwijst, werkt, onder voorbehoud van de gewijzigde poorten, maar er zijn in deze wiki ook nog verwijzingen naar extra settings, die je aan dnsmasq moet toevoegen (listen-address=127.0.0.1 en voor dnssec proxy-dnssec
De reden waarom ik dit onderzoek: In mijn pihole log merk ik dat requesten voor een domain naar alle proxies worden gestuurd, b.v.:
Jan 31 13:10:40 dnsmasq[619]: query[A] www.google.be from 192.168.2.125
Jan 31 13:10:40 dnsmasq[619]: forwarded www.google.be to 127.10.10.4
Jan 31 13:10:40 dnsmasq[619]: forwarded www.google.be to 127.10.10.3
Jan 31 13:10:40 dnsmasq[619]: forwarded www.google.be to 127.10.10.2
Jan 31 13:10:40 dnsmasq[619]: forwarded www.google.be to 127.10.10.1
Als je hier bedenkingen bij hebt, hoor ik dat graag.

Belgar @jpgview • 31 januari 2017 20:13

Als je de wiki volgt op de pi-hole site en systemd gebruikt, kun je elke poort gebruiken die je wil, omdat systemd met volledige rechten draait en dus niet beperkt is in de poorten (overigens doet het ook geen kwaad, maar het zou geen oorzaak moeten zijn). Bovenstaande is dus alleen van toepassing als je dns-crypt als programma draait onder een user. preferred is dus systemd

"listen-adres =" wordt al geregeld door pihole (als je een clean install doet)

Dns-sec moet je inderdaad handmatig doen (tot in ieder geval deze versie van pihole). Als je vanaf deze versie de config-manager opnieuw draait zou je het moeten kunnen aanzetten in de config tool.

Het aanvragen bij alle DNs servers is inderdaad standaard, maar je kunt ook round-robin, random e.d. instellen als je dat echt zou willen. Let wel: zodra je eenmaal het IP-adres van Google hebt gaat die niet weer alle servers af.

jpgview

Pi-hole

@Belgar • 31 januari 2017 20:42

Excuses dat ik je blijf lastig vallen...
In de wiki spreekt men over proxy-dnssec. De pihole setup voegt de volgende lijnen toe:
dnssec
trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

Als je dnssec vervangt door proxy-dnssec, verdwijnen alle DNSSEC meldingen uit het pi hole log. De DNSSEC resolver test (op de settings pagina) geeft echter aan dat alles OK is...

de man page zegt:
--proxy-dnssec
Copy the DNSSEC Authenticated Data bit from upstream servers to downstream clients and cache it. This is an alternative to having dnsmasq validate DNSSEC, but it depends on the security of the network between dnsmasq and the upstream servers, and the trustworthiness of the upstream servers.

Als ik dit goed begrijp wil dit zeggen dat je de validatie overlaat aan de servers, gespecifieerd in de dnscrypt configuratie (zie de rar file) en de locale dnsmasq hiermee niet meer belast?
Graag jouw mening, de discussie die ik ook probeer te voeren op het pihole forum vind je hier

[Reactie gewijzigd door jpgview op 24 juli 2024 22:10]

Belgar @jpgview • 31 januari 2017 22:53

Correct. Het heeft voordelen en nadelen. Voordeel is dat het snel is en geen rekenkracht kost. Ook ben je minder afhankelijk van je lokale dnsmasq om correct validation paths te volgen.

Nadeel is wel dat je inderdaad impliciet de DNS server van DNSCrypt vertrouwd.

Nu doet een Rpi3 het overigens prima als resolver, omdat die meer dan genoeg rekenkracht heeft.

Als je lokaal DNSSEC draait sluit je de hele chain uit als "verdacht", met de proxy is alleen de remote DNS server een zwakte, de rest is nog wel steeds beschermd. MitM aanvallen op het DNS verkeer is nog steeds onmogelijk.

Persoonlijk zou ik gaan voor de volledige implementatie, maar zoals je zelf hebt uitgevonden, is de dnsmasq implementatie verre van robuust. Helaas vind ik zelf regelmatig "false positives" waar dnsmasq een domein weigert, maar de certificate chain wel intact is.

het "dig" commando (onderdeel van dns-utils) kan daar uitsluitsel over geven. totdat dnsmasq dnssec robuuster implementeert zit je dus met een klein dilemma.

harrytasker @jpgview • 29 januari 2017 17:10

Nergens geen kant en klare image beschikbaar zoals bij Libreelec? Ben nogal lui uitgevallen 😉

Pietervs @jpgview • 29 januari 2017 20:07

Gekke is, dat als ik een domain toe wil voegen aan de wildcard blacklist, er niks gebeurd. Klik ik op "Add (exact)" dan wordt het domein wel toegevoegd aan de reguliere geblackliste domeinen.
Mijn Pi (versie 3) heb ik al gereboot, maar dat heeft niet geholpen. Wat doe ik fout?

jpgview

Pi-hole

@Pietervs • 29 januari 2017 20:24

Lees deze manual, hoofstuk 11. Alle domains die hier bij mij vermeld staan komen ook in de wildcard blacklist op de webpagina. (blacklist / wildcard blocking)
Controleer eerst effe of een en ander toch niet correct werkt door na te gaan of het domain dat je hebt toegevoegd al niet vermeld is in /etc/dnsmasq.d/03-pihole-wildcard.conf.
Ik ga er vanuit dat je v2.12 wel degelijk hebt geinstaleerd, als het niet werkt zoals het hoort probeer dan pihole -r
Om te testen of het werkt voeg je trackuity.com als domain toe (wildcard), daarna surf je naar www.trackuity.com. De pagina moet geblocked worden, in het query log zal een entry komen met als status "pi-holed (wildcard)

Pietervs @jpgview • 29 januari 2017 23:56

Dank voor de manual, had niet gezien dat deze bijgewerkt is. Maar heb hem ook al een tijdje niet gezien

Gekke is: ik maak een bestand aan, 03-pihole-wildcard.conf, met daarin wat regels.
Deze verschijnen in de interface als "Exact blocking" met een * ervoor (dus: *.ligatus.com).
Lijkt een rechtenprobleempje te zijn, moet ik eens induiken.

jpgview

Pi-hole

@Pietervs • 30 januari 2017 08:07

Heb net een en ander geprobeerd. Normaal voeg ik nooit iets toe via de webinterface, maar goed. via webinterface hln.be toegevoegd, dit werkt bij mij zonder enig probleem (*.hln.be of .hln.be zijn niet geldig) Er wordt een entry toegevoegd aan 03-pihole-wildcard.conf.
Je moet wel zorgen dat er een linefeed achter je laatste entry staat, anders plakt de webinterface het gewoon achter de laatste entry.

edit: pointless to add a leading period as suggested in this article as the feature request I've created this morning came back with an "impossible" remark.

[Reactie gewijzigd door jpgview op 24 juli 2024 22:10]

harrytasker @jpgview • 5 februari 2017 16:28

Voegt uBlock en Privacy badger nog iets to als je een Pi-Hole server draait?

jpgview

Pi-hole

@harrytasker • 8 februari 2017 09:14

Ik draai op al mijn portable computers ook Privacy badger en ublock origin, Pi-hole beschermt je lokale netwerk, als je op verplaatsing werkt (met je computer)...
Helaas is er zijn er voor edge nog steeds niet al teveel extensions, de ublock origin plugin is er (er was ooit een artikel hierover op tweakers), maar dat is een beta.
Thuis werk ik hoofdzakelijk met edge (win10) en ie11 (win7), dus, beschermd door pihole, geen extentions.

Anoniem: 401186 29 januari 2017 11:29

Het draait niet alleen op een RPi maar bijv ook op een Synology NAS mits die voldoende RAM heeft

https://discourse.pi-hole...ole-on-a-synology-nas/289

Cartman!

@Anoniem: 401186 • 29 januari 2017 11:56

Of via docker als je type Synology dat ondersteunt: https://github.com/diginc/docker-pi-hole

gastje01 @Cartman! • 29 januari 2017 12:28

Dan heb je wel nog een oudere versie?

z1rconium @gastje01 • 29 januari 2017 12:45

pihole -up
docker pull diginc/pi-hole

doet wonderen.

[Reactie gewijzigd door z1rconium op 24 juli 2024 22:10]

gastje01 @z1rconium • 29 januari 2017 16:55

Lijkt niet te werken. Ik blijf bij versie 2.6.3. Webpagina is inmiddels niet meer benaderbaar. Gaat goed hier

edit: meer geduld hebben blijkbaar, is gelukt, thnx!

[Reactie gewijzigd door gastje01 op 24 juli 2024 22:10]

GekkePrutser @Cartman! • 29 januari 2017 13:14

Die versie draai ik ook inderdaad, op een vps. Werkt prima!

z1rconium @Anoniem: 401186 • 29 januari 2017 12:48

Deze instructies komen van deze tweaker.

Ik kan ze helaas niet meer aanpassen, het werkt niet voor iedereen, in de comments zitten nog wat hulpmiddelen mocht het niet lukken.

Reanimator909 @Anoniem: 401186 • 29 januari 2017 13:04

Je kan Pi-hole ook in een jail op FreeNAS draaien.

Qpad 29 januari 2017 13:04

Stuur hierbij een (engelse) beschrijving hoe je DNScrypt & DNSSEC kunt gebruiken:

DNSCrypt on PiHole

Follow these steps to install and enable DNSCrypt on your Pihole installation. Read more about DNSCrypt here: DNSCrypt.

Please note that your Pihole will stop working during the installation so keep that in mind if there are other users on your network using the Pihole.

At the time of writing the latest version dnscrypt-proxy is 1.9.4 but that may change, please edit the commands according to version.

Please note, I take no responsibility for any breakage or corruption of your Pihole installation when following this guide.

Install necessary system packages and reboot

sudo apt-get update
sudo apt-get -y install build-essential tcpdump dnsutils libsodium-dev
sudo apt-get -y install locate bash-completion
sudo reboot
Build DNSCrypt from the sources

mkdir -p dnsproxy
cd dnsproxy
wget http://download.dnscrypt....scrypt-proxy-1.9.4.tar.gz
tar -xf dnscrypt-proxy-1.9.4.tar.gz
cd dnscrypt-proxy-1.9.4
sudo ldconfig
./configure
make
sudo make install

Configure the system

Starts DNSProxy in daemon mode automatically

sudo nano /etc/systemd/system/multi-user.target.wants/dnscrypt-proxy.service
sudo nano /etc/systemd/system/multi-user.target.wants/dnscrypt-proxy-backup.service (if adding a second resolver)

And paste this content:

[Unit]
Description=Secure connection between your computer and DNS resolver
After=network.target network-online.target
[Service]
Type=forking
Restart=always
RestartSec=5
PIDFile=/var/run/dnscrypt-proxy.pid
ExecStart=/usr/local/sbin/dnscrypt-proxy --daemonize \
-a 127.0.0.2:40 \
-R dnscrypt.eu-nl \
-E \
--edns-payload-size=4096 \
-p /var/run/dnscrypt-proxy.pid
[Install]
WantedBy=multi-user.target

Change the -a flag to 127.0.0.3:40 and use a different resolver on the backup.
Content backup:

[Unit]
Description=Secure connection between your computer and DNS resolver
After=network.target network-online.target
[Service]
Type=forking
Restart=always
RestartSec=5
PIDFile=/var/run/dnscrypt-proxy.pid
ExecStart=/usr/local/sbin/dnscrypt-proxy --daemonize \
-a 127.0.0.3:40 \
-R d0wn-nl-ns1 \
-E \
--edns-payload-size=4096 \
-p /var/run/dnscrypt-proxy.pid
[Install]
WantedBy=multi-user.target

Note: The reason why we're assigning the IPs 127.0.0.2 and 127.0.0.3 is so that we can have a better overview in the Forward Destinations chart inside the dashboard.

Then reboot the RPI:

sudo reboot

Change your DNSMasq config

Change DNS resolver in DNSMasq config

sudo nano /etc/dnsmasq.d/01-pihole.conf
Edit this section and point to dnscrypt-proxy

# Add other name servers here, with domain specs if they are for
# non-public domains.
server=127.0.0.2#40
server=127.0.0.3#40 (if adding a second resolver)
Reboot your Pihole

sudo reboot

Nadeel van bovenstaande methode is dat je na elke upgrade van pi-hole de gegevens in DNSMasq worden gewijzigd! Na elke Pi-hole upgrade het volgende commando uitvoeren:

sudo nano /etc/dnsmasq.d/01-pihole.conf

Wijzig de volgende sectie naar (zoals eerder aangegeven):

# Add other name servers here, with domain specs if they are for
# non-public domains.
Server=127.0.0.2#40
Server=127.0.0.3#40

Test DNSCrypt:

https://www.dnsleaktest.com/

Test DNSSec:

http://dnssec.vs.uni-due.de/

Hierbij een overzicht van de DNSCrypt-proxy resolvers:

https://github.com/jedisc...er/dnscrypt-resolvers.csv

De gekozen DNSCrypt-resolvers hebben optie DNSSec validation en No logs!
Hierbij een link naar de laaste release notes van DNSCrypt-proxy:

https://github.com/jedisct1/dnscrypt-proxy/releases

jpgview

Pi-hole

@Qpad • 29 januari 2017 13:38

zeker geintresseerd, heb in een ver verleden ook gepoogd dnscrypt aan de praat te krijgen zonder gebruik te maken van dnscrypt-loader (er staat ook in hoe dnscrypt kan worden geupdate), maar helaas... Daarom zit ik vast op v1.9.1.
Vandaar volgende vragen:
- kan je de bron voor deze info even vermelden?
- heb je dit ook effectief geimplementeerd?
- welke versie van dnsmasq draai je, en op welk platform (draai zelf raspian jessie lite, orgineel dnsmasq versie 2.72, dit werkt niet, daarom deze methode om dnsmasq te upgraden).
- met dnscrypt-loader kan je maximum 2 resolvers opgeven, volgens de dnscrypt documentatie kan je meerdere resolvers gebruiken (ook in pihole (settings) lijkt dit nu mogelijk), dnsmasq zou dan regelmatig testen welk de snelste resolver is. heb je dat al getest?
- je past /etc/dnsmasq.d/01-pihole.conf aan met de nieuwe dns servers. De servers staan echter ook vermeld in /etc/pihole/setupVars.conf. Ik vermoed dat na aanpassing van deze file, de servers zelfs vermeld staan in de settings pagina van pihole, kan je dat bevestigen?
- je gebruikt dnscrypt servers, die weliswaar in het dnssec veld van dnscrypt-resolvers.csv DNSSEC enabled zijn, in de beschrijving zijn dat er maar twee. Werkt DNSSEC ook effectief?

Qpad @jpgview • 29 januari 2017 20:16

Bovenstaande procedure is begin oktober (2016) gepubliceerd op GitHub.
DNSCrypt zelf draait om m'n Rapberry pi (Raspbian Jessie Lite - versie 2017-01-11)

Na de installatie van Pi-Hole voer in bovengenoemde procedure uit (dus zonder DNSCrypt-loader!).

Dnsmasq versie:
pi@raspberrypi:~ $ dnsmasq -v
Dnsmasq version 2.72 Copyright (c) 2000-2014 Simon Kelley
Compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect

Test DNSCrypt:

sudo journalctl -u dnscrypt-proxy -f
sudo journalctl -u dnscrypt-proxy-backup -f (indien men gebruik maakt van een backup resolver)

Uitkomst:

pi@raspberrypi:~ $ sudo journalctl -u dnscrypt-proxy -f
-- Logs begin at Sun 2017-01-29 10:05:49 CET. --
Jan 29 18:11:49 raspberrypi dnscrypt-proxy[738]: This certificate is valid
Jan 29 18:11:49 raspberrypi dnscrypt-proxy[738]: Chosen certificate #808464433 is valid from [2016-09-08] to [2017-09-08]
Jan 29 18:11:49 raspberrypi dnscrypt-proxy[738]: The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Jan 29 18:11:49 raspberrypi dnscrypt-proxy[738]: Server key fingerprint is 72DF:BE14:531F:F2AD:FD0F:BC8B:F711:B93D:799F:E4D0:34EC:D26B:8BF9:FFA9:32E7:2B79
Jan 29 19:13:20 raspberrypi dnscrypt-proxy[738]: Refetching server certificates
Jan 29 19:13:20 raspberrypi dnscrypt-proxy[738]: Server certificate with serial '0001' received
Jan 29 19:13:20 raspberrypi dnscrypt-proxy[738]: This certificate is valid
Jan 29 19:13:20 raspberrypi dnscrypt-proxy[738]: Chosen certificate #808464433 is valid from [2016-09-08] to [2017-09-08]
Jan 29 19:13:20 raspberrypi dnscrypt-proxy[738]: The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Jan 29 19:13:20 raspberrypi dnscrypt-proxy[738]: Server key fingerprint is 72DF:BE14:531F:F2AD:FD0F:BC8B:F711:B93D:799F:E4D0:34EC:D26B:8BF9:FFA9:32E7:2B79

Via web-site http://dnssec.vs.uni-due.de/ geeft bij mij de volgende uitkomst:

This test determines whether your DNS resolver validates DNSSEC signatures. For this test you need JavaScript turned on.

http://sigok.verteiltesysteme.net/yeserror.png

Yes, your DNS resolver validates DNSSEC signatures.

Nogmaals maak zelf geen gebruik van Dnscrypt-loader.
Maak ook geen gebruik in de Pi-hole admin settings page om gegevens in te voeren.

jpgview

Pi-hole

@Qpad • 29 januari 2017 20:38

Bedankt voor je verduidelijkingen
Je moet dit eens lezen. Volgens mij komt het er op neer dat dnsmasq v2.72 een serieus probleem heeft met DNSSEC, zowel in v2.73 als in v2.74 zijn er fixes toegevoegd. Ondertussen heb ik een oplossing voor een upgrade gevonden, die vind je hier (entry van 28 januari).
Belgar verwijst naar deze site als referentie voor een dnscrypt installatie, ik ga er vanuit dat je die bedoelt.

Qpad @jpgview • 30 januari 2017 19:28

Een goede tip m.b.t. dnsmasq versie 2.72.
Zie dat men inmiddels op dnsmasq versie 2.76 is beland:

http://www.thekelleys.org.uk/dnsmasq/

Zal eerdaags een volledig versie installatie van raspbian uitvoeren om een upgrade uit te voeren naar versie 2.76.

@ Belgar..thnx voor de tip
Zal het e.e.a. te testen of dit wilt lukken.
Heb zelf geen problemen om de pihole.conf file aan te passen na iedere upgrade.
Via putty is dit in 10 sec gebeurd.

Eveneens bedankt voor het melden van de Wildcard Blacklisting.
Voor het uitvoeren van deze optie gebruik ik het liefst de terminal.
Indien men alles wilt blokkeren van bannerflow.com gebruik ik het volgende commando:

pihole -wild bannerflow.com

[Reactie gewijzigd door Qpad op 24 juli 2024 22:10]

Belgar @Qpad • 29 januari 2017 14:03

Zet je dnsmasq settings in een aparte file en verwijder ze uit 01-pihole.conf

Dan hoef je nooit meer 01-pihole.conf aan te passen

lenwar

Pi-hole

@Qpad • 30 januari 2017 08:28

Ik heb dit een tijdje geleden ook opgezet, maar het steeds aanpassen na een upgrade heb ik ondervangen, door de configuratie die de pihole installer neerzet eenmalig aan te passen. (de installer zet effectief de, tijdens de installatie gegeven configuratie, in bestanden. Als je deze dan aanpast naar je dnscrypt-proxy regels, dan zal het gewoon blijven werken na een upgrade.

Ik heb nu even geen toegang tot m'n systemen, maar uit m'n hoofd staan die configuratiebestanden in /etc/.pihole (<puntje>pihole dus). Als je daar de items aanpast naar je 127.0.0.2 en 3 regels, dan overleeft je actieve configuratie een upgrade.

Ik zal kijken of ik in de loop van de dag/avond de exacte regels kan vinden.

Update:

Gevonden:
/etc/pihole/setupVars.conf

De volgende variabelen aanpassen naar je dnscrypt-proxy services:

PIHOLE_DNS_1=127.0.0.2#40
PIHOLE_DNS_2=127.0.0.3#40

[Reactie gewijzigd door lenwar op 24 juli 2024 22:10]

TheProphet

29 januari 2017 11:55

Run "pihole -up" om te upgraden, kon dit slecht vinden als common Windows gebruiker

Raoul.TLS @TheProphet • 29 januari 2017 12:39

Thx zocht dat werkt genoteerd voor de volgende keer

Zer0 @TheProphet • 29 januari 2017 14:24

Volgende keer even in de faq kijken? https://discourse.pi-hole.net/t/how-do-i-update-pi-hole/249

batjes @Zer0 • 29 januari 2017 15:30

Als common windows gebruiker lees je geen faqs.

skunkopaat 29 januari 2017 11:08

Lever je met een pi-hole eigenlijk in op je internet snelheid?

MiesvanderLippe @skunkopaat • 29 januari 2017 11:12

Ik meen dat het alleen een DNS server is en dan is het juist sneller om die binnen je netwerk te hebben. Als het ook als router fungeert moet je opletten dat je een Pi met gigabit poort heb (eerste generatie heeft deze niet). Sowieso is het niet laden van advertenties een enorme vooruitgang.

The Realone @MiesvanderLippe • 29 januari 2017 11:30

Geen enkele Pi heeft Gigabit ethernet en daarnaast is het in nagenoeg alle gevallen niet interessant om te routeren met een Pi. Enerzijds vanwege de beperkte performance (en dat het dus bij enkel routeren zou blijven) maar zeker omdat er maar 1 ethernet interface op zit. En USB2.0 is ook geen geweldige oplossing.

Dat gezegd hebbende; dit is inderdaad een DNS server die ad-domains resolved naar zijn eigen adres ipv wat het echt is. Enige verkeer wat je zult hebben is een request voor een resource van jouw clients naar de Pi (en terug). Er vanuit gaande dat je geen vele tientallen clients hebt loopt dat vast goed.

hcQd @The Realone • 29 januari 2017 12:15

maar zeker omdat er maar 1 ethernet interface op zit

Dit geldt voor zo goed als alle consumentenrouters, maar met een router-on-a-stick configuratie is dat niet echt een probleem.

The Realone @hcQd • 29 januari 2017 12:20

Er zijn maar weinig consumenten routers met slechts 1 interface. Er zal minstens 1 "WAN" en 1 of meerdere "LAN" poorten hebben, dat is gewoon praktisch. En een router-on-a-stick configuratie is niet echt gangbaar icm met een Pi of consumentenspul.

hcQd @The Realone • 29 januari 2017 12:27

Extern niet, maar dat is wel hoe ze intern werken. Een managed switch met 6 poorten, een voor WAN, 4 voor LAN en een voor de router zelf.

CurlyMo @MiesvanderLippe • 29 januari 2017 11:26

Geen enkele generatie RPi heeft een gigabit poort.

jpgview

Pi-hole

@CurlyMo • 29 januari 2017 12:03

klopt, maar het kan wel. zie deze site voor de mogelijkheden, deze site voor één van de produkten, die "out of the box" ondersteund worden

CurlyMo @jpgview • 29 januari 2017 12:12

Dan nog steeds niet, want de RPi heeft geen USB 3 poorten en met USB 2 haal je die snelheden niet.

GeeBee @MiesvanderLippe • 29 januari 2017 11:26

Helaas heeft geen enkele RPi een Gbit-poort, wel 100Mbit.

FreshMaker @MiesvanderLippe • 29 januari 2017 12:13

Ik meen dat het alleen een DNS server is en dan is het juist sneller om die binnen je netwerk te hebben. Als het ook als router fungeert moet je opletten dat je een Pi met gigabit poort heb (eerste generatie heeft deze niet). Sowieso is het niet laden van advertenties een enorme vooruitgang.

Je kan pi-hole op elke vorm van debian installeren.
* FreshMaker heeft hem online in een gratis vps staan, zodat mijn mobiele devices ook buiten gebruik kunnen maken van de addblocking.

Hier voor meer info :

https://www.reddit.com/r/...without_a_pi_on_a_do_vps/

[Reactie gewijzigd door FreshMaker op 24 juli 2024 22:10]

Accretion @skunkopaat • 29 januari 2017 11:13

In theorie gaat het juist sneller omdat je geen reclame hoeft op te halen.

Het is een dns, verwacht niet dat je volledige internet dan via de PI gaat, dus dat moet niets uitmaken.

Cartman!

@skunkopaat • 29 januari 2017 11:57

Nee, alleen je DNS-requests gaan erheen dus de snelheid van de pi is geen beperkende factor hierin.

Anoniem: 24417 29 januari 2017 12:22

Ik snap als leek niet helemaal wat dit doet; is het vergelijkbaar met een firewall programma, maar dan als aparte proxy computer?

jpgview

Pi-hole

@Anoniem: 24417 • 29 januari 2017 12:38

Het is een DNS server. In plaats van de DNS servers van je provider te gebruiken, zeg je op je router (of lokaal als je dat wil) dat pihole de DNS server is (IP address van pihole). Alle DNS requests zullen dan geevalueerd worden door pihole, de goeie (geen ads - trackers, ...) requests worden geforward naar de DNS server(s) die je tijdens de pihole installatie hebt gekozen. De slechte (alles wat in de verschillende lijsten is opgelijst) beantwoord pihole zelf met een block page, die onderdeel is van de pihole installatie. Je krijgt op die blockpage dan ook de keuze om de site in kwestie toch toe te laten (whitelist).

Anoniem: 24417 @jpgview • 29 januari 2017 12:51

ahh, klinkt handig

ik gebruik nu een custom hosts file, maar dan is het lastig uitzonderingen toe te laten, en volgens mij wordt windows er ook niet sneller op.

pennywiser @Anoniem: 24417 • 29 januari 2017 12:38

Het is een DNS server welke bepaalde ongewenste aanvragen naar reclame sites niet doorlaat/teruggeeft.

HansvDr @pennywiser • 29 januari 2017 12:50

En er zijn ook publieke dns servers die ongeveer hetzelfde doen. Je hebt dan niet de controle als pi-hole maar kunt de functionaliteit eens testen. Google op dns addblock levert genoeg op. Bv. https://alternate-dns.com/

Anoniem: 24417 @pennywiser • 29 januari 2017 12:51

tnx

Raoul.TLS @Anoniem: 24417 • 29 januari 2017 12:40

Super Addblocker over je geheel netwerk (op DNS) Kijk op Youtube Pihole how it works

bytemaster460 @Anoniem: 24417 • 29 januari 2017 12:54

Normaal krijg je van je provider de DNS-servers toegewezen. Hiermee wordt a.d.h.v. een domeinnaam (bijv. tweakers.net) het juiste IP-adres opgezocht om mee te connecteren. Pi Hole gaat daar tussen zitten. Zodra jouw computer het ip-adres wil opvragen van een domeinnaam die advertenties verspreidt stuurt Pi Hole dit verzoek niet door naar de echte DNS-server maar handelt dit verzoek zelf af. Pi Hole retourneert dan een klein HTML-frame (van enkele pixels) op de plek waar de advertentie zichtbaar had moeten zijn.
Het werkt echt perfect!

AlphaJuno2 29 januari 2017 14:24

Ik heb even een vraagje mbt de PiHole en een webserver in het zelfde netwerk.
Wordt het verkeer van de verschillende zoekmachine crawlers ook afgevangen of enkel het verkeer van de advertentienetwerken?

Belgar @AlphaJuno2 • 29 januari 2017 14:31

Afhankelijk van wat je wil natuurlijk. Maar tenzij je server veel weblookups doet (zeer onwaarschijnlijk) is er uberhaubt geen interactie tussen de twee: De crawlers zoeken jouw adres namelijk niet op op jouw DNS

AlphaJuno2 @Belgar • 29 januari 2017 15:46

In dat geval gaan we het eens proberen. Ik ben benieuwd.
Bedankt voor de info.

waspoeder 29 januari 2017 11:06

Ik vind het echt een ideale constructie
Alleen me'n vriendin doet wel eens van die hay day spelletjes en daar kan je dan reclame filmpje bij kijken voor extra dingen
Die moet ik steeds whitelisten.

[Reactie gewijzigd door waspoeder op 24 juli 2024 22:10]

Michaelr1 @waspoeder • 29 januari 2017 12:02

Zelfde hier, gebruik Pihole ook exlusief als DNS en werkt bij mij prima. Moet echter wel af en toe eea white-listen omdat Google weer iets veranderd aan de manier van advertenties aanbieden of omdat m'n vriendin weer spelletje x wil spelen waar reclame in zit.

Verder een prima oplossing er wordt ook giga veel geblocked, daar was ik persoonlijk erg verbaasd over.

Red Boll @waspoeder • 30 januari 2017 09:08

Hiervoor heb ik een extra ssid aangemaakt op een ander VLAN zonder Snort en een andere DNS server (OpenDNS). (Een soort (redelijk) "dirty" internet.

)

Bardman01 @Red Boll • 7 februari 2017 16:01

Bij OpenDNS moet je betalen als je meer dan 25 entries blacklist. Is tegenwoordig van Cisco, geen idee wat ze ermee moeten, maar sinds die tijd kost het geld.

Meteen een alternatief gaan zoeken, die er inmiddels genoeg zijn.

WPN 29 januari 2017 11:09

Heerlijk programmaatje, draai het virtueel. Zo nu en dan wat irritatie als ie bijvoorbeeld het doorklikken op 1dagskoopjes blokkeert maar daar kan ik mee leven.

cyclone 29 januari 2017 14:09

Zojuist hem op een virtuele installatie van Debian op mijn Qnap gezet en dat werkt als een malle.
Enige opmerking die ik kan plaatsen is dat ik een keer extra moest rebooten om de admin webpagina goed aan de praat te krijgen (damn toch beetje windows gevoel) maar verder ben ik zeer enthousiast.

Maakt het heel makkelijk (installatie stelt serieus niets voor) om snel grip te krijgen op je DNS requests en zo eigenlijk een hoop trackers (Google en andere evil bedrijven) bij de bron de pas af te snijden.

Ik maak me geen illusies verder dat het verder niet echt een hele beveiligings laag is die ik heb toegevoegd, maar ik wilde dit al een tijdje zelf opzetten maar dit maakte het me zeer makkelijk!

Een aanrader !

Op dit item kan niet meer gereageerd worden.

Versienummer	2.12
Releasestatus	Final
Besturingssystemen	Scripttaal
Website	Pi-hole
Download	https://github.com/pi-hole/AdminLTE/releases
Bestandsgrootte	87,00kB
Licentietype	Freeware

31-03	Pi-hole Core 6.0.6 / Web 6.1 / FTL 6.1	19
06-03	Pi-hole Core 6.0.5 / Web 6.0.2 / FTL 6.0.4	40
20-02	Pi-hole Core 6.0.1	97
01-'24	Pi-hole Core 5.17.3 / FTL 5.24	82
05-'23	Pi-hole Core 5.17 / Web 5.20 / FTL 5.23	22
03-'23	Pi-hole Core 5.16.2 hotfix	33
03-'23	Pi-hole Core 5.16.1 / Web 5.19 / FTL 5.22	22
02-'23	Pi-hole Core 5.15.4 / Web 5.18.4 / FTL 5.21	81
01-'23	Pi-hole Core 5.15.1 / Web 5.18.2	9
01-'23	Pi-hole Core 5.15 / Web 5.18.1 / FTL 5.20.1	63

Software-update: Pi-hole 2.12

Update-historie

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: