Software-update: Pi-hole Core 5.3 / Web 5.5 / FTL 5.8

Pi-hole logo (75 pix) Versie 5.3 van Pi-hole Core is verschenen. Ook zijn Pi-hole Web 5.5 en FTL 5.8 uitgekomen. Pi-hole is een advertising-aware dns- en webserver bedoeld om te draaien op een Raspberry Pi in het netwerk. Als op de router naar Pi-hole wordt verwezen voor dns-afhandelingen, zullen alle apparaten binnen het netwerk er automatisch gebruik van maken zonder dat er instellingen moeten worden aangepast. Vervolgens worden advertenties niet meer opgehaald, waardoor pagina's sneller laden. In potentie kan er ook malware mee buiten de deur worden gehouden. Voor meer informatie verwijzen we jullie door naar de uitleg en video's op deze pagina, of deze handleiding van tweaker jpgview. De changelog voor deze uitgave ziet er als volgt uit:

Highlights

More details for your adlists

The web dashboard does now provide health-status and statistics about downloaded and processed adlists. You can see when they were last downloaded, when they were last changed and it they work at all or contain invalid domains. This aims at simplifying using additional lists.

Add Pi-hole darker theme

This PR adds a third default theme, an even `darker` variant of the dark one. It also fixes an issues with the existing `dark` theme where links in box headers (like the Query Log’s “show all”) were completely invisible. Comparison between the existing dark (on the left) and the new darker (on the right):

Automated IP blocking mode

Until now, FTL’s IP and IP-NODATA-AAAA blocking modes sourced the IP to deliver on a blocked domain from the setupVars.conf values IPV4_ADDRESS and IPV6_ADDRESS. This is, however, quite a limitation, especially if the device running Pi-hole has more than one interface or of the address is changing. To address this, FTL v5.8 implements an automated IP blocking mode. Instead of reading the addresses from setupVars.conf, we dynamically determine the address of the interface a query arrived on. We then use this IP address in the blocked reply. This does not only reduce maintenance (IPV4_ADDRESS and IPV6_ADDRESS can now be removed from setupVars.conf) but also localizes blocked queries. The automated detection can be overwritten using REPLY_ADDR4 and REPLY_ADDR6 in pihole-FTL.conf.

Update embedded dnsmasq to v2.85

New features, bug fixes and several other tweaks are contained in this release. Check out the change log below for more information.

FTL changelog

  • Automate IP blocking mode #965
  • Simplify handling of .lua and .db files #1086
    • pihole-FTL something.lua
      automatically launches the embedded LUA engine
    • pihole-FTL something.db
      behaves the same way as sqlite3 something.db
    • Similar things like
      pihole-FTL something.db "SELECT * FROM abc;"
      are possible as well
  • Add more regex warnings to message table #1092
  • Circle CI: skip uploading build artifacts on forks #1093 (thanks @bershanskiy)
  • Update SQLite to 3.35.4 #1083 #1089 #1097
  • Various enhancements and a few memory-leak fixes #1084
  • Resize shared memory only when locking #1072
    This is not really a functional change, however, it makes the code more read- and understandable in some places.
  • Escape DHCP options if necessary #1070
  • Ensure FTL can be compiled from static tarballs #1091
  • Use properly-sized buffer for format_time() #1088 (thanks @bershanskiy)
  • Fix pihole-FTL test not terminating properly (noticed in a docker environment) #1067
  • Fix incorrect “FATAL: Trying to access upstream ID -1” warning in the logs #1061
  • DNS server improvements:
    • Fix problem with DNS retries in earlier versions.
      The new logic in 2.83/2.84 which merges distinct requests for the same domain causes problems with clients which do retries as distinct requests (differing IDs and/or source ports.) The retries just get piggy-backed on the first, failed, request.
      The logic is now changed so that distinct requests for repeated queries still get merged into a single ID/source port, but they now always trigger a re-try upstream.
      To avoid excessive spamming of the upstream server, similar queries are collected for up to two seconds when the query has already been sent upstream. All clients will get replies when the answer comes back.
    • Avoid treating a dhcp-host which has an IPv6 address as eligible for use with DHCPv4 on the grounds that it has no address, and vice-versa.
    • Add dynamic-host option
      A and AAAA records which take their network part from the network of a local interface. Useful for routers with dynamically prefixes.
    • Teach bogus-nxdomain and ignore-address to take an IPv4 subnet.
    • Use random source ports where possible if source addresses/interfaces in use. CVE-2021-3448 applies.
      It’s possible to specify the source address or interface to be used when contacting upstream name servers: server=8.8.8.8@1.2.3.4 or server=8.8.8.8@1.2.3.4#66 or server=8.8.8.8@eth0, and all of these have, until now, used a single socket, bound to a fixed port. This was originally done to allow an error (non-existent interface, or non-local address) to be detected at start-up. This means that any upstream servers specified in such a way don’t use random source ports, and are more susceptible to cache-poisoning attacks.
      We now use random ports where possible, even when the source is specified, so server=8.8.8.8@1.2.3.4 or server=8.8.8.8@eth0 will use random source ports. server=8.8.8.8@1.2.3.4#66 or any use of query-port will use the explicitly configured port, and should only be done with understanding of the security implications. Note that this change changes non-existing interface, or non-local source address errors from fatal to run-time. The error will be logged and communication with the server not possible.
    • Change the method of allocation of random source ports for DNS. Previously, without min-port or max-port configured, dnsmasq would default to the compiled in defaults for those, which are 1024 and 65535. Now, when neither are configured, it defaults instead to the kernel’s ephemeral port range, which is typically 32768 to 60999 on Linux systems. This change eliminates the possibility that dnsmasq may be using a registered port > 1024 when a long-running daemon starts up and wishes to claim it. This change does likely slightly reduce the number of random ports and therefore the protection from reply spoofing. The older behavior can be restored using the min-port and max-port config switches should that be a concern.
    • Scale the size of the DNS random-port pool based on the value of the dns-forward-max configuration.
    • TFTP tweak: Check sender of all received packets, as specified in RFC 1350 para 4.

Web changelog

  • Add details to adlist table #1673 (@DL6ER)
  • Don’t count new status types as blocked queries in long-term data #1743 (@yubiuser)
  • Add hint for update command & documentation link #1749 (@j15e)
  • Add Pi-hole darker theme #1731 (@DL6ER)
  • Trim CNAME target input field value data #1759 (@Yrlish)

Core changelog

Versienummer 5.3 / 5.5 / 5.8
Releasestatus Final
Besturingssystemen Scripttaal
Website Pi-hole
Download https://github.com/pi-hole/pi-hole/releases/tag/v5.3
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 15-04-2021 09:38
54 • submitter: Ewoud86

15-04-2021 • 09:38

54

Submitter: Ewoud86

Bron: Pi-hole

Update-historie

31-05 Pi-hole Core 6.1 / Web 6.2 / FTL 6.2 33
31-03 Pi-hole Core 6.0.6 / Web 6.1 / FTL 6.1 19
06-03 Pi-hole Core 6.0.5 / Web 6.0.2 / FTL 6.0.4 40
20-02 Pi-hole Core 6.0.1 97
01-'24 Pi-hole Core 5.17.3 / FTL 5.24 82
05-'23 Pi-hole Core 5.17 / Web 5.20 / FTL 5.23 22
03-'23 Pi-hole Core 5.16.2 hotfix 33
03-'23 Pi-hole Core 5.16.1 / Web 5.19 / FTL 5.22 22
02-'23 Pi-hole Core 5.15.4 / Web 5.18.4 / FTL 5.21 81
01-'23 Pi-hole Core 5.15.1 / Web 5.18.2 9
Meer historie

Lees meer

Pi-hole

geen prijs bekend

Netwerk en systeembeheer

Reacties (54)

-Moderatie-faq
54
54
46
4
0
4
Wijzig sortering
Sand0rf 15 april 2021 09:58
Inmiddels is hier ook alweer een hotfix in Pi-hole Core naar V5.3.1 (https://github.com/pi-hole/pi-hole/releases/tag/v5.3.1) uitgebracht die ervoor zorgt dat het weer mogelijk is om als upstream DNS server 127.0.0.1#5335 in te stellen.

Edit: typo

[Reactie gewijzigd door Sand0rf op 22 juli 2024 15:53]

GieltjE @Sand0rf15 april 2021 12:42
Je bedoeld 127.0.0.1?
Sand0rf @GieltjE15 april 2021 14:02
Correct, local host
Bart_Smith @Sand0rf16 april 2021 09:16
Dit Engels YT video laat zien wat er zo speciaal is met de Upstream DNS en poort 5335.
https://www.youtube.com/watch?v=FnFtWsZ8IP0
MrFax 15 april 2021 09:44
DNS adblocking werkt niet meer zo goed als vroeger. Ik vraag me af hoe dat komt. Vaker direct via ip adressen? Of wordt HTML5 gebruikt?
Miki @MrFax15 april 2021 10:01
Veel apparaten gebruiken ook een ingebouwde DNS server op het moment dat er iets geblokkeerd wordt. Google staat hierom bekend, maar ook veel IOT apparaten hebben toevallig nog een derde achterdeurtje lopen via bijvoorbeeld 8.8.8.8, zoals bijvoorbeeld de Samsung smart tv's.
MrFax @Miki15 april 2021 10:09
Mag het gebruik van een geforceerde DNS server wel? Dat lijkt mij iig tegen privacywetgeving, omdat je via DNS-servers getracked kan worden.

[Reactie gewijzigd door MrFax op 22 juli 2024 15:53]

Miki @MrFax15 april 2021 10:22
Dit kun je alleen ondervangen via je router/modem anders gaat je dit niet lukken. De meeste modems staan het toe om je eigen DNS-servers in te stellen i.p.v. die van de provider.
MrFax @Miki15 april 2021 10:29
Hoe zou ik dat dan moeten vangen? Alle bekende DNS-providers (ip-adressen) blokkeren, en alleen je Pi-Hole whitelisten, zodat deze nog wel DNS-queries kan maken naar bijv. 1.1.1.1?

[Reactie gewijzigd door MrFax op 22 juli 2024 15:53]

Miki @MrFax15 april 2021 10:41
Sorry ik was in mijn vorige post niet volledig. Je kunt een firewall rule kunnen aanmaken dat je al het DNS verkeer op bijvoorbeeld 8.8.8.8 blokkeert en je DNS servers op je router/modem instelt op bijvoorbeeld die van Cloudflare, Quad9 of en andere dienstverlener.

Gebruik maken van Unbound is bijvoorbeeld een andere mogelijkheid. Hier kun je best veel howto's over vinden op het web :)

[Reactie gewijzigd door Miki op 22 juli 2024 15:53]

The Zep Man
@Miki15 april 2021 11:00
Sorry ik was in mijn vorige post niet volledig. Je kunt een firewall rule kunnen aanmaken dat je al het DNS verkeer op bijvoorbeeld 8.8.8.8 blokkeert en je DNS servers op je router/modem instelt op bijvoorbeeld die van Cloudflare, Quad9 of en andere dienstverlener.
Je blokkeert dan niet 8.8.4.4 of 9.9.9.9, bijvoorbeeld.

Het is mogelijk om al het uitgaande DNS verkeer te blokkeren, maar daarmee heb je bijvoorbeeld DNS over HTTPS nog niet geblokkeerd.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:53]

Zer0 @Miki15 april 2021 13:30
Je kunt een firewall rule kunnen aanmaken dat je al het DNS verkeer op bijvoorbeeld 8.8.8.8 blokkeert en je DNS servers op je router/modem instelt op bijvoorbeeld die van Cloudflare, Quad9 of en andere dienstverlener.
En dan schakelt men gewoon over naar gebruik van DoH (DNS over HTTPS).
Miki @Zer015 april 2021 13:37
En zie hier dus het kat en muisspelletje tussen tweakers en de advertentieboeren :)
Honbrifcl @MrFax15 april 2021 10:48
Je kunt de DNS servers ook blokkeren met behulp van "static routing" in je router. Mijn Android telefoon verbindt soms, bij snel wisselen tussen routers in huis, direct naar 8.8.8.8 en verbindt dan dus niet via Pi-Hole met als gevolg dat je dan reclame te zien krijgt. Om dit te voorkomen heb ik de google servers volledig geblokkeerd via deze static routing (waardoor ik dan wel soms tijdelijk een DNS error te zien krijg, maar dat liever dan Google DNS!)

https://help.trickbyte.com/category/block-public-dns/
The Zep Man
@Honbrifcl15 april 2021 11:02
Je kunt de DNS servers ook blokkeren met behulp van "static routing" in je router.
Waarom blokkeer je dat, en laat je 'onveilige' DNS naar 8.8.8.8 en 8.8.4.4 niet gewoon afhandelen door je router zelf? :?
DigitalExorcist @MrFax15 april 2021 11:31
Maar DNS is puur voor het omzetten van records naar IP-adressen. Windows Update trekt zich er niet zoveel van aan, die resolved *intern* al gewoon naar hun IP adressen.
Bart_Smith @MrFax16 april 2021 09:21
Een hele makkelijke is, wanneer je een Raspberry PI als PI-Hole gebruikt:
1. Firewall rule BLOCK toegang tot poort 53 voor ALLES behalve het IP adres van de PI-Hole.
2. Verander de WAN DNS adres(sen) naar de PI-Hole IP adres(sen).
3. Bij gebruik van DHCP, verander de DNS adres setting van de DHCP server naar het PI-Hole IP adres(sen).
Hierdoor kunnen alle apparaten, inclusief de router alleen met de PI-Hole als DNS werken.

[Reactie gewijzigd door Bart_Smith op 22 juli 2024 15:53]

MarcoC @Miki15 april 2021 10:56
Als DNS geforceerd op 8.8.8.8 staat in een apparaat kan je dat alleen in je router ondervangen door de routingtabel handmatig aan te passen. Dat is zeker geen standaardfunctionaliteit.
MrFax @MarcoC15 april 2021 11:44
Je kan toch ook een ACL-regel aanmaken die alles via poort 53 blokkeert behalve een enkele DNS provider? Je kan zelfs zeggen dat alleen je Pi-hole deze kan benaderen, zodat je alleen via de Pi-hole queries kan maken.

[Reactie gewijzigd door MrFax op 22 juli 2024 15:53]

WeiserMaster @MrFax15 april 2021 13:12
Handiger is het als je een NAT redirect aanmaakt om alsnog bij je pi hole uit te komen.
Werkt uiteraard alleen bij IPv4, maar IPv6 is anno 2021 nog steeds een drama bij te veel "mobiele" apparatuur. 8)7
asing
@MrFax15 april 2021 10:25
Dat is wel erg ver gezocht. Dat is net zoiets als een zoekmachine verbieden omdat de zoekmachine weet wat je zoekt. Ergens komt iemand iets te weten anders kan jij ook niks vinden.

Anyway, ik had hetzelfde issue. Ik had DNS verkeer naar buiten geblokkeerd van binnen naar buiten. De pi-hole werkt met DoH dus die heeft daar geen last van. De Nefit app op mijn telefoon deed niets meer. Die maakte wel hard gebruik van 8.8.8.8.

Dus een NAT regel aangemaakt : al het verkeer van intern naar internet wat gebruikt maakt van DNS (53) omleiden naar de Pi-Hole.
MrFax @asing15 april 2021 10:31
Ah zo zou dat dus ook kunnen. Hierboven zei ik wat anders, maar wat jij zegt is misschien een wat makkelijkere oplossing.
SaiBork @Miki15 april 2021 10:09
Android doet dit ook vaak. Als je maar 1 DNS server instelt op je netwerk, dan zet Android vaak 8.8.8.8 als 2e en krijg je alsnog de advertenties via die server.

Wat hier goed tegen helpt is het gebuik van DNS filtering op je router/firewall. Die kan alle DNS verzoeken weer doorsturen naar je Pi. Dat zorgt er dan ook voor dat veel IoT apparaten geen reclame meer kunnen opzoeken.
bounto @SaiBork15 april 2021 10:16
Is het ook niet verstandig om unbound te installeren in combinatie met pi-hole, zodat het een recursive DNS server wordt?
lenwar
@bounto15 april 2021 10:29
Dat ligt er aan wat je doel is.

Als je niet afhankelijk wil zijn van een paar derde partijen, of niet wil dat één derde partij al je DNS-verkeer ziet, dan kan je dat doen. (Je kan natuurlijk je pi-hole/Adguard Home naar een hele zwik backends laten praten om te voorkomen dat één partij al je DNS-verkeer ziet, maar dat is een ander verhaal.)

Als je wilt dat je DNS-verkeer naar het internet toe versleuteld is, kan je er voor kiezen om bijvoorbeeld met DoH (of DoT, enz. enz.) richting een derde partij kan praten. pi-hole heeft daar derdepartijsoftware voor nodig. Adguard Home ondersteund intern (ook DoH binnen je LAN, zodat eventuele malware die op je netwerk draait niet je DNS-verkeer kan afluisteren, wat opzich handig kan zijn in deze tijd van IOT-devices, die je niet zelf echt in controle hebt).

Voordeel daarvan is, is dat ook je ISP niet je DNS-verkeer kan zien. (al hebben die uiteraard ook andere manieren om je te tracken als zij dat graag zouden willen)
Verwijderd @lenwar15 april 2021 15:06
Intressant, ik had toevallig ook net een vraag gesteld op het forum over het gebruik maken van interne DNS servers. Je ziet vaak dat men Pi-hole in combinatie pakt met bijvoorbeeld Unbound.

Als Adguard dat beter als 1 oplossing af kan vangen, dan is dat zeker een voordeel voor Adguard. Ben je toevallig ook bekend met andere DNS oplossing zoals CoreDNS?
lenwar
@Verwijderd15 april 2021 17:28
AdGuard Home is niet een recursive dns server als unbound. AGH is een alles-in-een dns server met filterlijsten.
Pi-hole is een systeem met allerlei aan elkaar gescripte onderdelen (plat gezegd is het een aangepaste dnsmasq server met een lighttpd webserver ervoor aangevuld met een zwerm scriptjes om de boel als een geheel te laten draaien.
Begrijp me niet verkeerd. Het is knap aan elkaar gezet!

AGH is een binary en een configuratiebestand. Het is niet beperkt door de functionaliteit van dnsmasq.
Het ondersteund out of the box, DoH, DoT, enz, en heeft geen extra software nodig om te functioneren.

Beide oplossingen hebben een externe upstream sever nodig om te werken.
Voor beide oplossingen zou je bijvoorbeeld unbound kunnen gebruiken als je per se bijvoorbeeld niet de Google DNS of Cloudflare DNS diensten wil gebruiken om welke reden dan ook (zonder waardeoordeel van mijn kant af :) )
Echter kan Unbound een ook werken met blacklists en met een beetje hack-en-slash-werk dus zelfs zonder pi-hole of AGH kunnen werken.

Software als coredns biedt in de praktijk meer voordeel als je je DNS-diensten wil integreren in allerlei andere diensten. Meestal is dit niet nodig voor particulier gebruik.
Verwijderd @lenwar15 april 2021 20:51
Bedankt voor je uitgebreide antwoord!
Ik ga starten met AGH en werk vandaar weer verder.

Software als coredns biedt in de praktijk meer voordeel als je je DNS-diensten wil integreren in allerlei andere diensten. Meestal is dit niet nodig voor particulier gebruik.
Dat begrijp ik uiteraard. Ik ben echter op zoektocht om alles in mijn netwerk om te bouwen naar een container based oplossing om hiervan te leren hoe men zaken op een moderne manier oplost. Tot nu toe een fantastische (en soms frustrerende) ervaring. Voor nu nog bezig alle interne 'diensten' aan te bieden via traefik maar de volgende stap is DNS waarbij ik mogelijk ook mijn eigen zone wil hosten (geen idee of het kan, het is voor nu nog maar een idee).

Nogmaals, dank voor je antwoord!
Church of Noise @bounto15 april 2021 10:20
Inderdaad. Op die manier contacteer je zelf de authoritative DNS servers, en vermijd je dat andere partijen AL je dns queries ontvangen (zoals bvb Google, Cloudflare, ...)
Terrestrial @SaiBork15 april 2021 10:23
Dat niet alleen maar je merkt steeds vaker dat apps op een TV bijvoorbeeld advertentie servers nodig hebben om te werken, dus als je bepaalde dingen niet whitelist start de hele stream niet op.
sIRwa3 @SaiBork15 april 2021 10:40
Weet iemand hoe dat op Openwrt zou moeten?
bytemaster460 @sIRwa315 april 2021 10:51
Dit? https://openwrt.org/docs/guide-user/services/dns/unbound
BushWhacker @Miki15 april 2021 17:37
Ik heb het met een DNAT-Rule opgelost.
Alle dns-verkeer niet afkomstig van de pihole wordt naar de pihole ge-dnat.

( Edgerouter 4 )

[Reactie gewijzigd door BushWhacker op 22 juli 2024 15:53]

Hulliee @BushWhacker15 april 2021 21:54
Met een DNAT-rule is wat mij betreft de juiste oplossing. Blokkeren van DNS (als 8.8.8.8) ip-adressen niet.
t_o_c @Miki15 april 2021 10:11
Inderdaad. Merkte dat ook op bij mijn Shield TV. Natuurlijk vrij simpel om gewoon al het DNS verkeer behalve naar je pihole te blokkeren maar toch.
Pihkal @Miki15 april 2021 10:16
Dit kan je opvangen met de "DNS filter" feature als deze in je router firmware zit.
Xwrt-Vortex onder andere heeft deze feature. http://xvtx.ru/xwrt/
Onderschept alle verkeer op poort 53 en route het alsnog naar de Pi-Hole.
Werkt hier goed.
mjl @Miki15 april 2021 12:23
Dat kan je dan alleen ondervangen door 8.8.8.8 te blokkeren in je firewall (router) en een uitzondering voor je Pihole te maken lijkt me.
jcbvm @MrFax15 april 2021 09:58
Veel advertenties komen tegenwoordig steeds meer van hetzelfde domein als waar de content van de website vandaan komt. In dat geval wordt het veel moeilijker om ze te blokkeren, omdat je dan mogelijk ook niet-advertentie content blokkeert.

Waar deze tools nog wel handig voor zijn is om de meeste tracking van derden te blokkeren. En natuurlijk phishing/malware tegen te houden.
satya @jcbvm15 april 2021 10:18
Ze maken vaak gebruik van een vermomde tracker, www.cultofmac.com is er zo eentje die dat doet. Sommige lijsten blokkeren dan het hele domein.

https://medium.com/nextdn...rty-trackers-195205dc522a

Nextdns heeft de optie om dit soort vermomde trackers te blokkeren.

[Reactie gewijzigd door satya op 22 juli 2024 15:53]

jpgview
@satya15 april 2021 11:37
Je verwijst naar deze
https://medium.com/nextdn...rty-trackers-195205dc522a pagina, voor meer detail.

Niets nieuws onder de zon, pihole kan dit ook, out of de (sinds v5) box, zij noemen het "deep cname inspection"

Ik leg het ook uit in mijn manual, section 15 (users.telenet.be whitelisten om de manual te lezen) en verwijs naar twee scriptjes op github, om de domains, die van deze techniek gebruik maken te regex blacklisten, de lijst van nextDNS en die van Adguard Team. Lees, download en voer de scriptjes uit, een aantal regex blacklist entries worden toegevoegd, en je bent beschermd...
ultramarine @jpgview15 april 2021 12:56
Zojuist gedaan, fijn idee om weer wat beter beschermd te zijn!

Ik werk niet dagelijks meer met mijn pi-holes (ik heb er twee in mijn netwerk), dus moest even zoeken hoe ik nou precies de scriptjes moest ophalen en uitvoeren. Voor degenen net als ik of liever lui dan moe zijn:

$ wget https://raw.githubusercontent.com/jpgpi250/piholemanual/master/NextDNS.sh
$ sudo chmod +x /home/pi/NextDNS.sh
$ sudo /home/pi/NextDNS.sh

En voila, de entries zijn toegevoegd!

[Reactie gewijzigd door ultramarine op 22 juli 2024 15:53]

gabaman @ultramarine15 april 2021 15:03
Voor de erg luie mensen gaat dit niet op.
De CLI neemt je puntjes ... te letterlijk
wget: unable to resolve host address 'raw.githubusercon...emanual'


wget https//raw.githubusercontent.com/jpgpi250/piholemanual/master/NextDNS.sh

Ja ik ben erg lui :D
sweetdude @jpgview17 april 2021 13:15
is er ook een "undo" scriptje/optie voor die nextDNS settings?
ik merk nu dat nadat ik het heb aangezet er meer cookie wall popups zijn dan gewoonlijk (fok!) maar ook meer advertenties doorheen glippen lijkt het met name in embeded video's op social media.
jpgview
@sweetdude17 april 2021 15:56
nope, delete the entries in the web interface (blacklist)

als alles goed gegaan is, hebben alle entries the comment "NextDNS CNAME list", makkelijk om ze te idenficeren...
lenwar
@MrFax15 april 2021 10:15
Het werkt op zich nog best goed, maar dan voornamelijk vanuit een privacy-oogpunt. Voor de grote spelers (Facebook/Google) zal het niet zo goed meer werken zolang je hun producten gebruikt.

Voor websites zie je inderdaad steeds vaker dat de advertenties worden geserveerd via "www.domein.nl/advertenties/vagetrackingscriptjes.js"

Zolang je een pc/telefoon/tablet gebruikt, kan je adblockers in die apps/applicaties gebruiken. (smart-TV zou ik persoonlijk niet weten). Waar de pi-hole-achtige producten wel goed voor zijn, zijn de advertentieblokkades in niet-browser-apps. Je zal toch vaak zien dat willekeurige telefoonspelletjes vaak nog gebruik maken van de servers van de advertentieboeren.

Waar de pi-hole-achtige applicaties wel handig voor blijven (voorlopig althans) zijn, is dat ze een extra laag tegen malware/phishing en ook 'tracking' en externe analytics die je eventueel niet wilt en dat soort zaken zijn.

Als ik bijvoorbeeld (puur anekdotisch natuurlijk) kijk naar mijn Ad Guard Home installaties zie ik ongeveer 6-7% geblokkeerde DNS-verzoeken (ik heb dan ook adblockers op m'n telefoons/tablets/pc's enzo). Het overgrote deel van de geblokkeerde zaken komen af van andere apparaten en omvat grotendeels trackers:

(app-measurement.com, crashlitics, enz. enz. enz.)
bytemaster460 @lenwar15 april 2021 10:57
Voor een Smart-TV werkt Pi-Hole ook aardig, maar het breekt wel snel bepaalde functionaliteit. Een Samsung stuurt heel veel gebruikersdata naar "huis". Als je al die servers blokkeert werkt er niet veel meer op je TV. Het is dus een beetje trial & error. Voor mijn TV heb ik 78 domeinen geblokkeerd en merk dan geen functieverlies, behalve dat hij de check voor een update niet meer kan doen.
mjl @bytemaster46015 april 2021 12:24
En dat is wellicht maar goed ook, na een update zal je zien dat ze weer nieuwe urls gebruiken voor de tracking :)

En als je dan toch wilt upgraden even de pi hole pauzeren ...
Kjoe_Ljan @mjl15 april 2021 14:55
Gelukkig worden blocklists (of 'adlists'), die je in Pi-Hole redelijk makkelijk kunt linken, regelmatig geüpdatet.
Ik zelf gebruik deze voor mijn Samsung tv, en je ziet dat-ie redelijk recent is bijgewerkt en dat er behoorlijk wat domeinen zijn uitgecomment, en waarom ze niet geblockt worden (bijvoorbeeld om updates binnen te trekken).

Groot nadeel van zulke 'third-party' lists is natuurlijk dat je niet volledig zelf in de hand hebt wat geblokkeerd wordt en dat ze soms offline worden gehaald.

[Reactie gewijzigd door Kjoe_Ljan op 22 juli 2024 15:53]

bytemaster460 @MrFax15 april 2021 09:49
Je ziet inderdaad dat steeds meer sites een combinatie van advertenties via een advertentiebedrijf en advertenties via de eigen server aanbieden. Die laatste kun je niet blokkeren via DNS.
bartje @MrFax15 april 2021 11:16
ik heb dit probleem eigenlijk alleen bij youtube.
daarnaast had ik hier heel erg last van met Ziggo icm IPv6
ze maken het middels onmogelijk om de v6 dns server goed te overrulen.

Ik heb daarom net zo lang lopen zeuren totdat ze IPv6 compleet uitgeschakeld hadden.
voelie 15 april 2021 12:43
Ik gebruik pfsense in combinatie met pihole en de firewall is zodanig ingesteld dat geen enkele client een dns request kan doen op internet behalve de unbound dns server van pfsense zelf . Unbound op zijn beurt laat enkel dns request toe van mijn pihole . Op die manier zijn er 0 achterpoortjes voor toestellen die mijn dns filter willen omzeilen :) , ze moeten allemaal via mijn pihole er is geen andere weg. Alles zowel geconfigureerd voor ipv4 en 6

[Reactie gewijzigd door voelie op 22 juli 2024 15:53]

UTMachine @voelie15 april 2021 13:32
Blokken is soms niet goed, want sommige clients kunnen flink eigenwijs zijn. Vandaar op mijn router ik alle verzoeken naar port 53 van none-Pi-Hole re-direct naar de Pi-Hole. De client is blij en ik ben blij :o
Verwijderd @voelie15 april 2021 15:09
Behalve via DoT? ;)
_Sparkie_ 15 april 2021 14:47
Het DNS adblocking is leuk zolang het nog werkt. Wat ik veel leuker vind om te zien is wat er allemaal gebeurd aan verkeer binnen mijn netwerk. Zoals al die smarthome devices en bridges van verschillende merken. Heb eigenlijk nog niet andere (gratis) software gezien die dit zo in kaart brengt

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq