[Re:] [sonar:] Pi-hole, a reklám blokkoló (Bevezető) - BLOGOUT fórum

Hirdetés

üzenetek

hozzászólások


Zirowe
(nagyúr)
Blog

Köszi a leírást, lenne pár kérdésem.

Ez mennyire terheli a pi-t?
Van egy pi zero w-m ami a teljes okosotthon infrastruktúra fut domoticz és HA bridge-el, ez elbírná még a pi hole-t vagy érdemes másik pi-re rakni?
Van-e relevanciája/kihat-e a többi eszköz böngészési sebességére az, hogy a pi hogyan kapcsolódik a routerhez (wifi/lan)?
Ezzel milyen minőségben lesznek blokkolva a reklámok: oldalak, amik teljes képernyőn sírnak, hogy kapcsoljam ki az adblockert és addig nem mehetek tovább, illetve okos tv youtube appban lévő skippelhetetlen reklám így megkerülhető?

:R


Krugszvele
(aktív tag)

Én használtam pár hónapig, igaz PC-n, ott észrevétlen terhelést okozott (kb 10 eszköz ment róla)

A nagy bajom az volt, hogy a youtube reklámokat nem fogta meg, így végülis értelmetlen volt használni. A YT reklámokat semmilyen eszközön nem fogta meg, így az okostévén sem fog segíteni :(

[ Szerkesztve ]


sonar
(addikt)
Blog

Melyik DNS-ekkel próbáltad?

#1 - eddig nem vettem észre problémát- Hozzáteszem jelenleg egy rpi2-n ketyeg és még csak 1 host "forgalma" van rá terelve. De jó ötletet adtál, hogy monitorozzam proci és mem éhségét.


Gargouille
(senior tag)

Bennem a pi hole-al kapcsolatban mindig két kérdés merül fel:

1. Alap esetben a DNS forgalom titkosítatlan. Ezért lehet könnyen manipulálni. Sokak szerint ez már most sem kívánatos állapot, így csak idő kérdése, hogy általánossá váljon valamilyen DNS over TLS vagy egyéb megoldás, ahol a kliens és a DNS szerver közötti forgalom titkosítva van, így nem manipulálható. Ha ez az idő eljön, akkor sok reklámblokkoló megoldás kútba fog esni. Sőt, akár az az idő is eljöhet amikor az alkalmazások készítői gyárilag belevasalják, hogy az adott program csak és kizárólagosan a gyártó által megadott DNS-t használja, függetlenül attól, hogy te mit állítasz be magának a gépnek. Ha titkosított a DNS kapcsolat és nem tudod befolyásolni, hogy milyen DNS szervert használjon a program, akkor nem fogsz tudni szűrni, legalábbis nem DNS alapon.

2. A pi hole lényegében egy közbeékelődéses "támadás", vagyis a kliens és a DNS szerver közé ékelődik és a nem kívánt forgalmat másfelé tereli. Ha kompromittálódik az eszköz (vagy a blokkolt bejegyzések listája ami alapján dolgozik), akkor egy komoly biztonsági probléma keletkezik hirtelen. Nyilván ha statikus lista alapján dolgozik és soha nem frissíti az ember, akkor ennek kevesebb az esélye.


sonar
(addikt)
Blog

1. Úgy gonolom ettől még messze vagyunk, illetve ha IP cim van megadva akkor most se filterezi semmi.
2. igen, így működik minden ad blocker. Azt ne felejtsd el, hogy az RPi egy router mögött van, és jó eséllyel befelé nem nyitsz portot, tehát a kompromittálódásnak a valószínűsége nem több, mint egyéb más esetekben.

De tudni kell, hogy mi a cél.
Tudsz esetleg jobb módszert amivel az otthoni hálózaton a nem kívánatos honlapok, reklámok stb-k szintjét csökkenteni lehet úgy, hogy a felhasználói élmény azért megmaradjon?


denko
(senior tag)

Ami a terhelést illeti: Kb nulla, 8 eszköznél.

Ez a mai statisztika, ebből kevés volt még a mindenféle oldal, ma csak dolgoztam kb )

Youtubbal kapcsolatban viszont valóban nem mindent blokkol, főleg a videók elején reklámokat nem, de ami közben van, azokat nagyból kiszűri, de ez nyilván azon múlik milyen block listákat használsz.

[ Szerkesztve ]


Gargouille
(senior tag)

1. Igen, amíg nem az alkalmazás dönti el, hogy milyen DNS-t használ addig ez oké. De azért szerintem nincs olyan messze a DNS forgalom védelme sem.

2. Az RPI router mögött van, ez igaz, de ezért írtam, hogy nem is az rpi-t kell kompromittálni, hanem elég a listát amit használ. Ha mondjuk dinamikusan frissíti az RPI a saját szűrő listáját külső forrásból, akkor elég azt támadni ahonnan a listát veszi (tehát magát a listát módosítani) és minden pi hole ami azt a listát használja máris a támadó által kívánt helyre fogja terelni a forgalmat. Nem tudom a gyakorlatban történt e már ilyen, én csak az elvi lehetőségre gondoltam.


stickermajom
(addikt)
Blog

Nincs véletlenül egy reklámokkal megszórt YT videód példának? Most, hogy így mondtad, nem nagyon emlékszem a PC-n reklámokra, valami megfogja. Vagy csak olyan videókat nézek, amiknél nincs.

Ha véletlenül nem is fogja meg őket, akkor is érdemes használni. Nálam a statisztika így néz ki 18 eszköznél:

18.3% a blokkolt lekérések aránya. Rengeteg. Normál böngészés és normál eszközök mellett, nincs semmilyen kétes oldalról való sorozat vagy foci streamelés.


denko
(senior tag)

Miért is?

Mert ugye ha egyes bejegyzéseket változtatja a támadó a listában saját cimekre, akkor a pihole, azokat fogja venni venni mint block listát akit nem enged a hálózatba és azokat a kéréseket kilövi az éterbe...

Ha viszont arra gondolsz hogy kártékony kdót becsemészki lista helyett, azt nem olyan biztos hogy tudja majd értelmezni a PI, mivel megadott formátumból dolgozik és sejtésem szerint egy irányú read only szimpla API requestet küld a bejezések olvasására. Gondolom én...


Krugszvele
(aktív tag)

nem emlékszem már milyen DNSekkel próbáltam de a cloudfare 1.1.1.1 és 1.0.0.1 benne volt az biztos.
reklámokkal megszórt YT videó? nem tudok ilyenről


Sethdobaloah
(senior tag)
Blog

Nem egészen így működik. A listáról ip címeket tölt be magának, amikre ha kérés érkezik, azt nem oldja fel a kliensnek / helyben üres pixelt küld helyette. Alig hinném hogy nem szűri a pi a listát, hogy csak ip-címeket fogadjon el bemenetnek.
Btw dns kérést kényszerítheted, hogy merre menjen. A program hiába kéri az xy dns szervert, ha te nem engeded. Max nem működik majd a program.
Viszont a DNS over HTTPs már egy létező dolog. És szvsz egy óriási öngól.


Gargouille
(senior tag)

Igaz, ha nem máshová irányítja hanem a kukába dobja a kérést, akkor nem gáz.

Tudom, hogy létezik a DNS over HTTPs (is), csak még nem általános. Kétélű fegyver mert egyrészt tényleg nem teljesen oké, hogy a DNS kérések plaintext-ként mászkálnak (lehetőséget ad a támadásra is meg bizonyos dolgok megfigyelésére), másfelől viszont sokszor szükség van rá, hogy egy hálózaton belül legális okból belenyúlj, azt meg igencsak megnehezítené.


gazso75
(aktív tag)

Én évek óta használom megelégedetten. A v5-re átállás után, viszont észrevettem, hogy több minden jön át a reklámokból.
Ki milyen listákból dolgozik ?


gurabli
(senior tag)

Jó ideje használom (egy Orange Pi Zero + Armbian kombón) és valami kegyetlen jó.
Amúgy ajánlom mindenkinek a DoT vagy DoH DNS-t (inkább Cloudflare, mint Google). Nálam az Asus router Merlinnel támogatja alapból a DoT DNS-t, de arra jöttem rá, hogy gyorsabb és jobb, ha a Pihole kütyün telepítem a Cloudflared csomagot a DoH-hoz, és az upstream DNS a Pihole lesz, nem a router. A DHCP-t hagytam a routeren.
Nos, most valami kegyetlen gyors a DNS, kódolt, és alig van reklám. Szóval nagyon, de nagyon jó. Az pedig, hogy helyi hálózatban belenyúlni a DNS-be? Persze, céges hálózatban és ott is megfigyelés vagy korlátozás miatt. Otthon is lehet rá szükség, de teljes egészében kerülöm, hogy ne legyen. Legyen a DNS is csak szépen kódolva. Mellé egy VPN (most már Wireguard) és pá-pá megfigyelés. Nem vagyok parás, de senkire sem tartozik, hogy mit és mikor nézek. Ahogy a személyim sem ragasztom ki a pólómra minden adatommal, így az online lenyomatomat sem.

Ami nem igazán működik, az a DNSSEC. Valamiért nem akar rendesen működni. Nem annyira vészes, de jó lenne, ha működne. Különben a CF 1.1.1.1/help oldala tévesen mutatja az eredményeket, ha be van kapcsolva a DNSSEC, erre érdemes figyelni.

Ki milyen listát használ? Esetleg magyar webre spéci lista?


Hunter2
(addikt)
Blog

Az adblock plus szűrőlistáját lehet valahogy konvertálni hogy a pi-hole benyelje?


korfa
(aktív tag)

A youtubbal sikerült valakinek reklám mentességet elérni a piholeal? Minden megoldás érdekel. :))


Formaster
(addikt)

Ezzel szendvedek épp. A sunshine.it -nek van egy YT adblock video listája, ami fel is van töltve, de adlists.list -hez hozzáadva dob egy unable hibát.


Viktor0610
(MODERÁTOR)
Blog

Előfizetsz a prémiumra? 🤔

(Ez is egy megoldás, nem? ;] )


Formaster
(addikt)

Vagy marad a YT Vanced. Ne vicceljünk már, amit az elmúlt időszakban amit művelnek a tartalom szolgáltatók már vicc. 2 reklám videó előtt, 1 utána + amennyit a content creator beállít. Elhiszem, hogy a részvényesek örülnek, a CC-ök betegre keresik magukat, de a premiumért meg nem kéne annyit elkérni, mint egy Netflixért és még talán ki is fizetné az ember.


Viktor0610
(MODERÁTOR)
Blog

Engem a korona első hulláma alatt állandóan nyomott Győrfi Pál féle maradjotthon reklámok "löktek" a prémium megrendeléséhez.
Előtte én is Vanced használó voltam. :K

[ Szerkesztve ]


Ptech
(őstag)
Blog

Egy hete próbálkozom, eddig semmi.
Illetve sikerült a blokkolás, de akkor nem játszott le semmit, úgyhogy nem volt nyerő a dolog.
Amennyire utánaolvastam, maga a videó és a reklám cdn ugyanaz, így nehéz blokkolni ilyen alapon.


korfa
(aktív tag)

Az adguard dnse simán szűr. Ebböl azért azt szűröm le meglehet oldani.


Formaster
(addikt)

:DDD


Formaster
(addikt)

Ez azért nagyon meleg. Tegnap este lőttem be az alap listával. Ma délelőtt frissítettem az adatbázist 2 millióra és folyamatosan növekszik az arány, csak amíg megírtam a hsz-t másfél százalékot ugrott. (nem direkt Ads oldalakat hívok le, hagyományos használat) A listát bővítettem malwarekkel, tracking és suspiciouis címekkel is.


Sethdobaloah
(senior tag)
Blog

En mindig racsodalkozok, hogyan nez ki egy weboldal reklamokkal, ha veletlenul nem sajat eszkozon/halozaton nyitom meg :) Persze ahol lehet fizetek a hasznalatert.


Formaster
(addikt)

Arra leszek kíváncsi 24 óra múlva mit fog mutatni, mert 20 perce posztoltam és lassan eléri az 50-et. Igen, fizetni korrekt dolog, amíg korrekt az árazás is. Netflixet fizetem, de ott brutál jogdíjak vannak. Nyilván a youtube is fizet a creatoroknak, ott is vannak még komoly költségek, de ne vicceljünk már, hogy annyit elkérnek, mint egy netflix. Szerintem valahol a fele lenne egy értelmes összeg, de gyanítom, hogy nekik még ennyiért sem éri meg a prémium, mert felhasználói átlagban biztos, hogy többet keresnek per user, mint a prémium ára.


Formaster
(addikt)

Akinek kell a fullos pihole (2 milliós domain) lista innen ki tudja másolni a linkeket. Malware, tracking, ads, suspicious, videos, egyenlőre minden benne van amit találtam. Ha lesz kedvem bővítem még.


:DD

[ Szerkesztve ]


Formaster
(addikt)

Tudja valaki, hogy miért áll meg egy idő után? Nálam NAS-on fut, de egy bizonyos idő után azt írja a naplóban, hogy Unable to resolve host. Ezután hiába indítom újra, csak akkor kezd el ismét működni, ha nyomok egy Flush logs-ot. :U


Ptech
(őstag)
Blog

Statikus IP-t adtál neki?


Formaster
(addikt)

Igen, a NAS, illetve nálam minden eszköz statikuson van. Most kikapcsoltam a logolást, kíváncsi leszek leáll-e.

logban Unable to resolve host pihole van. De, hogy miért dobja be egy idő után passz :U

[ Szerkesztve ]


Hunter2
(addikt)
Blog

nálam pont ugyanez volt.


Formaster
(addikt)

Szerintetek a pihole-nak elég lehet egy Pi-Zero? 1Ghz one core +512 RAM. Szerintem vinnie kell.


Ptech
(őstag)
Blog

Átálltam az adguard dns-re google dns-ről, sajna most is jönnek a reklámok YT app Chromecastolásánál.

Formaster: elvileg elég a zero is neki. Nálam 4 giga ram-ból 5%-ot eszik, minimális terhelés.

[ Szerkesztve ]


Hunter2
(addikt)
Blog

megy rajta, nálam is azon fut.


Formaster
(addikt)

Sajnos nem fogod tudni kikerülni, legalábbis hagyományos routerrel biztosan nem. Nekem még hátra van a kísérlet Mikrotikkal, amiben tudom kényeszeríteni a Hardcoded DNS-eket is Pi-re. Ha eljutottam oda, akkor majd frissítem az infókat.


kvrt0516
(csendes tag)

Szia! A listat fel tudod tölteni újra? Köszönöm!


gazso75
(aktív tag)

Ti a WAN DNS-hez vagy a LAN (DHCP)hez állítjátok be a Pi-Hole IP-jét ?
Egyáltalán milyen beállításokat használtok?
Pl. a DNS-nél a Pi-Hole-on belül.


Sethdobaloah
(senior tag)
Blog

A dhcp szerver dns beallitasanal kell megadnod a pihole cimet elsodleges dns szervernek. Igy azok a kliensek ahol nincs manualis allitas, automatikusan a pihole-t hasznaljak majd dns szervernek. (Vagy nem, de ne bonyolitsuk most el :) )

[ Szerkesztve ]


FoxiestFox
(félisten)
Blog

Én is használom egy ideje, bár az LG TV Youtube kliensének reklámjait nem fogja meg, úgyhogy marad a PC-ről Youtube.
Egész pofátlan mennyiségű reklám van, vajon ez gépen is ilyen lenne, ha nem lenne ublockom? :DDD


gazso75
(aktív tag)

Bonyolítsuk, felkeltetted a kívácsiságomat. Évek óta használom, működik is rendesen, csak kiváncsi voltam mások configjára :)


Sethdobaloah
(senior tag)
Blog

ld. DNS over Https, amit egyes böngészők egyes régiókban alapértelmezetté tettek => ilyen esetben ki van kerülve a pihole.


gazso75
(aktív tag)

jaaa, vágom


gr8tjoey
(tag)

Egy youtube specifikus lista engem is érdekelne, bár már most kb 10%-ra esett vissza a reklámok mennyisége. Videók közben kb 0, előtte még 10-ből 1x beadja.

*Apropó, mi a legegyszerűbb módja a listák exportálásának?
A group managementben nekem csak az első sort eszi meg, át kell alakítanom a listákat szóköz tagoltra, ami elég macerás.

[ Szerkesztve ]


aRm1n
(tag)

Sziasztok!
Nemrég én is fellőttem egy Pi-hole-t egy Pi Zero W-re, és elkezdtem kísérletezni. Azt szeretném megoldani, hogy LG TV-n kiszűrje a pofátlan mennyiségű YouTube reklámot. Sajnos arra gyorsan rájöttem, hogy ez elég nehezen megoldható, ha egyáltalán... Van valaki, aki biztató eredményt ért el?

Egyelőre a két default (master és malware) listán kívül a sunshine.it-s és egy youTube_ads_4_pi-hole nevű van beállítva, utóbbi egy scripttel együtt, ami automatikusan frissíti a blocklistet. Sajnos az eredmények nem bíztatók, a reklámok átjönnek, utána viszont jó eséllyen a content is blokkolódik. Van valami ötletetek?


gr8tjoey
(tag)

Amióta írtam azóta a témát bújom, és nincs (nem is lesz) rá értelmes megoldás. Ugyanarról az IP-ről jönnek a reklámok ami alá 2 hostnév is be van drótozva. Az én esetemben jelen pillanatban (mert ez változik folyamatosan - load balancer) ez így néz ki.
joey@x:~$ nslookup 216.58.214.206
206.214.58.216.in-addr.arpa    name = bud02s23-in-f14.1e100.net.
206.214.58.216.in-addr.arpa    name = bud02s23-in-f206.1e100.net.

Az alsó a reklámhost a felső a video stream. Ez egy mozgó célpont..


aRm1n
(tag)

Köszi a válaszod! Kb. eddig jutottam a fórumokat áttúrva.
Pár kérdés:
1. Honnan lehet tudni, hogy melyik IP-ről melyik tartalom jön?
2. Hogy kerestél rá erre a címre? Megnézted nslookup-pal a manifest.googlevideo.com domaint majd a visszakapott címet megkerested nslookuppal?
3. Mihez kellene a visszakapott címeket (?) hozzáadni? Sima/wildcard blacklisthez, host filehoz vagy mihez?
4. A Raspberryről és a mögötte lévő PC-ről eltérő címek jönnek ki a manifest.googlevideo.com domainre... vagyis a kettőről azonos időben más eredményt kapok:
Raspberry (Pi-hole):
pi@raspberrypi:~ $ nslookup manifest.googlevideo.com
Server: 192.168.1.254
Address: 192.168.1.254#53

Non-authoritative answer:
Name: manifest.googlevideo.com
Address: 172.217.19.110
Name: manifest.googlevideo.com
Address: 2a00:1450:400d:805::200e

pi@raspberrypi:~ $ nslookup 172.217.19.110
110.19.217.172.in-addr.arpa name = muc03s07-in-f110.1e100.net.
110.19.217.172.in-addr.arpa name = bud02s27-in-f14.1e100.net.

PC:
PS C:\Users\armin> nslookup manifest.googlevideo.com
Server: raspberrypi
Address: 192.168.1.89

Name: manifest.googlevideo.com
Addresses: 2a00:1450:4016:801::200e
172.217.20.14

PS C:\Users\armin> nslookup 2a00:1450:4016:801::200e
>> 172.217.20.14
Server: raspberrypi
Address: 192.168.1.89

Name: muc11s02-in-x0e.1e100.net
Address: 2a00:1450:4016:801::200e

5. Nem lehetne valahogyan scripttel automatizálni a keresést és az eredményt hozzáírni a megfelelő listához...?
Bocsi, ha hülyeséget kérdezek, nem vagyok szakmabeli (csak egy bosszús user, aki megunta nyelni a reklámokat a TV-jén :D )


gr8tjoey
(tag)

Szia,
Én kidobtam a pi-hole-t, mert nem hozta az elvártat, de birizgálja a fantáziám hogyan tovább. Most adguard van fent, és ugyanaz (esetemben talán rosszabb is a helyzet).
Az egyik filter szerkesztő írta a redditen, hogy neki semmilyen reklám nem jön fel.
[link]
Ennél tovább nem jutottam. Talán azt lehet még megpróbálni - csak hangosan gondolkozok - hogy a HOST file-ba beírod a manifest.googlevideo.com címet fix IP-re, és annak az IP-nek a reklám párját (ha jól tudom a második amit visszaad) kitiltod. Ha lesz időm kipróbálom adguarddal


aRm1n
(tag)

Vagy száz ötletet meg regexes/listás próbálkozást láttam már az elmúlt napokban, voltak, akik elkezdték gyűjtögetni a googlevideo-s domaineket, de hiába minden. Nem lehet statikusan blokkolni, mindenki eredménye erre mutat. Hogy kéne megcsinálni azt, amit javasoltál? Sajnos mint írtam, nem vagyok szakember... ha hosts-ba rakom, nem tiltja le az egész domain elérését...?

Az a megérzésem, hogy a reklámot kiszolgáló címet folyamatosan és rendszeresen szkennelve talán meg lehetne oldani, mások is próbálkoztak már hasonlóval, itt: [link]


gr8tjoey
(tag)

Ha jól értem, akkor ezt be kell tenni a host file-ba, és boldogság. Mindjárt ki is próbálom

[link]


aRm1n
(tag)

Köszi a linket! Tegnap este hozzáadtam ezeket a hosts-hoz (amúgy valószínűleg jobb lenne a Pi-hole blokklistájához adni, elvégre erre való, nem?), az eredményeim eddig vegyesek. TV-n nézve talán (!) kevesebb reklámot látok, főleg a videók alatt, de nem vagyok biztos benne, hogy a most felrakott lista miatt (eddig is használtam néhány listát, ahogy írtam).

Feltűnt, hogy mindig két query bukkan fel a Pi-hole logjában:
[link]
Az egyik IPv4, a másik IPv6, ha jól néztem utána. Ennek mi lehet az oka?

[ Szerkesztve ]

üzenetek