Da habe ich testweise mal den Pi-Hole Raspberry nach Anleitung in der C't zusammengebastelt und jetzt kann ich bei Heise nix mehr sehen :-) (Mix)

Da habe ich testweise mal den Pi-Hole Raspberry nach Anleitung in der C't zusammengebastelt und jetzt kann ich bei Heise nix mehr sehen :-)

Tech & Media – macsudo, Ardey/Fröndenberg/Unna, 17.05.2018

Da verschwindet soviel im Pi-Hole, da dauert das Laden von z.B. Mac&i ewig. Da werden Tracking Scripte geblockt und etlich Ads verschluckt
Ist aber sehr interessant zu sehen, was da so alles an die Server geliefert wird.

Ich lass das Teil erstmal laufen. Finde ich ganz spannend.

Zur Info: Der Pi-Hole istt ein Raspberry-Pi als Netzwerkfilter konfiguriert. Er bedient sich da etlicher Blacklists.

----------

Danke und Tschüß
Udo
- Puh, Test abgebrochen. Das bewegen im Netz wird durch die Filterung unerträglich langsam. Schade.
  
  Tech & Media – macsudo, Ardey/Fröndenberg/Unna, 18.05.2018
  
  Viele Seiten benötigten bis zu 3 Minuten um komplett zu laden.
  
  Nicht dass ich es nicht gewusst hätte, aber die Menge an zugriffen auf Google-Diensten ist ja unglaublich.
  
  ----------
  
  Danke und Tschüß
  Udo
- - Immerhin sensibilisiert sowas für die ganze Datenproblematik. n/t
    
    Tech & Media – Fugal, 18.05.2018
  - Bist Du sicher, daß Du den richtig konfiguriert hast?
    
    Tech & Media – <gelöscht>, 18.05.2018
    
    Ich verwende Pi-Hole nicht, sondern auf den Mac/Windows/Linux uBlock Origin (u.a.) und auf den Android Phones/Tablets AdGuard.
    
    Aber von so krassen Einbrüchen in der Performance habe ich bisher nichts gehört oder die Pi-Hole Verfechter haben das unter den Tisch fallen lassen
    
    Welchen Raspi hast Du genommen?
    
    Das hier hast Du schon versucht: Why Some Pages Load Slow When Using Pi-hole And How To Fix It
    https://pi-hole.net/2018/02/02/why-some-pages-load-slow-when-using-pi-hole-and-how-to-fix-it/
    
    Ein bißchen was kann man ja auch in den meisten Routern machen, wenn die auch i.d.R. als Consumergerät etwas "untermotorisiert" sind.
    https://service.avm.de/help/de/FRITZ-Box-7590/017p1/hilfe_internet_filter_blacklist
    
    Sie können maximal 500 Internetadressen in die Liste eintragen.
    
    Die Prefixe http://, https:// oder www dürfen nicht verwendet werden. Listeneinträge mit Prefix werden ignoriert. Internetadressen werden ohne Präfixangabe eingetragen.
    Pfadangaben: Wird in der Internetadresse ein Pfad angegeben, dann wird genau die angegebene Domäne oder Subdomäne berücksichtigt. Andere eventuell vorhandenen Subdomänen werden nicht berücksichtigt.
    
    Sämtliche Folgepfade: Wird die Internetadresse mit "/" beendet, dann werden sämtliche Folgepfade mit allen Unterpfaden berücksichtigt.
    
    Groß- und Kleinschreibung: Bei der Schreibweise von Domänen und Subdomänen spielt die Groß- und Kleinschreibung keine Rolle. Bei der Schreibweise von Pfaden spielt die Groß- und Kleinschreibung eine Rolle und wird berücksichtigt.
    
    Es gibt im Netz fertige Liste für die Fritzbox mit den häufigsten Adserver Domains - z.B. https://www.kowabit.de/blcklst/
    Wenn Du jetzt in das Pi-Hole schaust müßtest Du die geblockten Domains sehen, für den eigen Bedarf kommst Du vielleicht mit 500 Domains/Pfaden hin.
  - - Die oben erwähnte FB Blacklist habe ich gerade kurz getestet - auf heise ist die Werbung nicht kmpl. weg, dafür bleibt alles schnell
      
      Tech & Media – <gelöscht>, 18.05.2018
      
      Fritzbox 7590 mit https://www.kowabit.de/blcklst/
      
      Das Verfahren mit reinem Domainblocking in der Box bleibt aber suboptimal und ist wohl eher ein Notbehelf.
      Könnte man Regeln wie bei AdBlock / uBlock verwenden ließe sich bedeutend effizienter filtern, allerdings müßte die FB dann auch mehr rechnen.
      Zusätzlich fehlt eine Möglichkeit schnell neue Regeln hinzufügen zu können bzw. zu pausieren.
      
      Zum Pausieren könnte man im WLAN einen Trick nutzen, den ich für meinen SmartDNS Dienst auch mache, man läßt die Regeln nur im Gastnetz greifen und kann dann am Phone/Tablet durch Wechsel zwischen Hauptnetz/Gastnetz zwischen ungefilterten und gefilterten Traffic wählen.
      
      https://www.heise.de/security/meldung/Efail-Thunderbird-mit-Enigmail-weiterhin-anfaellig-4052336.html
      OHNE FILTERLISTE (der Skyscraper rechts verfärbt sich und bewegt sich die ganze Zeit)
      Ladezeit 3,5 Sekunden (je nach Ads) (laut Webinspector)
      
      (unten drunter noch die Box "Auch interessant" mit den Empfehlungen denken, die paßten schon nicht mehr mit drauf und sind auch werblich gesteuert)
      
      MIT FILTERLISTE
      Ladezeit 1 Sekunde (laut Webinspector)
    - - Due hast die BL aber nicht auf dem PiHole getestet? n/t
        
        Tech & Media – macsudo, Ardey/Fröndenberg/Unna, 20.05.2018
      - Nur auf der FB - ausführlicher (länger als gedacht) Hinweis zur allgemeinen Methodik innen
        
        Tech & Media – <gelöscht>, 20.05.2018
        
        Pi-Hole habe ich nicht. Das war aber auch keine Fritzbox Promotion , andere Boxen bieten ähnliches, sondern ich wollte sehen, wie effizient das DNS Blocking im Router/Pi-Hole ist und ob aus irgendeinem blöden Grund bei Heise die Ladezeiten sogar hoch statt runtergehen, weil z.B. Skripte explizit auf "Zulieferungen" von externen Content warten, der jetzt geblockt ist.
        
        Es war auch als Anregung gedacht, was man mit fast null Aufwand und vorhandenem Gerät bereits erreichen kann.
        
        (Falls das auch im Heise Artikel erklärt ist ab hier alles skippen)
        
        Durch das Erkennen von fehlenden Ad-Inhalten durch Skripte lassen sich rein DNS basierte Blocker leicht aushebeln, das ist der gleiche Mechanismus auf dem auch die Anti-AdBlocker-Hinweise beruhen, die von der angesurfen Originalseite aus getriggert werden.
        
        Um die Anti-AdBlocker-Hinweise und andere Inhalte pfad- oder typweise blocken zu können, braucht man mehr als "simples/dummes" DNS Blocking und muß den Contentstream, was fordert der Browser an und was erhält er zurück, betrachten und filtern.
        
        Durch die HTTPS Auslieferung ist das nur möglich, wenn man die sichere Verbindung zwischen dem Server (Webseite) und Client (Browser) aufbricht. Für den Router und jemand anderen der mitliest sind nur die Doaminnamen lesbar, Pfade und Inhalte sind verschlüsselt.
        
        Von der Anforderung des Macfix Logos
        https://www.macfix.de/theme/MacFix/img/forum_logo_inv.png
        kann der Router oder jemand der den Traffic mitschneiden will nur noch https://www.macfix.de/ lesen - der Rest ist verschlüsselt und bleibt zwischen der Webseite und Browser "geheim".
        
        Browserextensions wie AdBlock, uBlock etc. sind in der komfortablen Lage, die Requests (Client => Server , Browser => Webseite) nach dem Abschicken durch den User aber vor dem Verschlüsseln bzw. bei der Antwort (Server => Client , Webseite => Browser) nach dem Entschlüsseln aber vor der Darstellung im Browser mitlesen/beeinflussen zu können.
        
        Aus einer kompletten sicheren Strecke Webseite <- sicher -> Browser
        Webseite <- sicher -> Internet <- sicher -> Router <- sicher -> Anzeige im Browser
        
        kommt dann ein "unsicheres" Stück, der AdBlocker, hinzu
        Webseite <- sicher -> Internet <- sicher -> Router <- sicher -> uBlock -< unsicher -> Anzeige im Browser
        
        So kann man zwar jeglichen Inhalt ob verschlüsselt oder unverschlüsselt blocken und/oder vor dem Absenden oder der Darstellung verändern, offenbart aber dem AdBlocker sämtliche Informationen.
        
        Zusätzlich funktioniert das nur direkt im Browser, d.h. mehrere Browser bedeuten auch mehrere AdBlocker und jedes Mal wieder auch das Festlegen der Blockierregeln.
        
        Die Alternative besteht darin den gesamten Traffic durch einen zentralen AdBlocker zu schicken, wie den Pi-Hole nur eben nicht nur für die Namensauflösung sondern für das Filtern des Inhalts.
        Das erfordert bedeutend mehr Rechenleistung als nur DNS Anfragen zu beantworten, da auch komplexe Regeln schnell und ohne merkliche Verzögerung abgearbeitet werden müssen.
        
        Falls hier noch einer liest kurzes Feedback dann folgt später noch Teil 2 zu Proxies mit SSL und im Handy lokale VPN Proxies - sonst spare ich es mir, wenn es eh jeder weiß/verstanden oder die Erklärung nicht verständlich ist.
    - Ich muss dabei sagen, dass ich im Router keinen DNS einstellen kann (ConnectBox) und dafür DHCP abgestellt habe...
      
      Tech & Media – macsudo, Ardey/Fröndenberg/Unna, 20.05.2018
      
      ...und DHCP im PiHole nutze.
      Ich brauche wohl dringend eine FritzBox Cable (hat jemand so ein Teil rumliegen?) kaufen muss.
      
      Danke für dem Link, ich habe das Projekt noch nicht aufgegeben sondern nur kurzzeitig auf Eis gelegt.
      
      ----------
      
      Danke und Tschüß
      Udo
  - Also bei mir ist es deutlich schneller geworden...
    
    Tech & Media – maelcum, Stuttgart, DE, 28.05.2018
    
    ... weil die meisten Zugriffe direkt durch den/das Pi-hole beantwortet werden.
    
    Ich betreibe das auf einem Uralten RPi 2B+, langsamer gehts (fast) nicht. Und zu meiner absoluten Verblüffung ist die Last auf dem RPi bei ... 0,2%. Echt wahr jetzt.
    Hier im Heimnetz laufen ca. 45 Clients, von ein paar Servern angefangen über Clients, Smartphones, "Smartes" TV bis hin zu SONOS Boxen (endlich die blöde Zwangsübermittlung gekappt) und einem Amazon Dash-Button zum Test.
    Alles rattenschnell...
    
    Bist Du sicher, dass Du nicht zu viele - sich womöglich überschneidende - Blocklists geladen hast?
    Ich hatte anfangs mal ein paar Blocklists eingespielt und dann festgestellt, dass beispielsweise Facebook in sechs verschiedenen Listen auftaucht. Das sollte zwar (bei 0,2% Last) kein Thema sein (dann wären es halt 1% Last) aber nach dem Aufräumen ist zumindest die GUI von Pi-hole wieder schön schnell.
    
    Neben den Default-Listen habe ich noch:
    https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/win10/spy.txt
    https://raw.githubusercontent.com/ZeroDot1/CoinBlockerLists/master/hosts
    https://raw.githubusercontent.com/StevenBlack/hosts/master/alternates/fakenews-gambling-social/hosts
    eingebunden.
    Und meine eigene für Geräte in meinem Netz, mit ein paar Einträgen.
    
    Ist denn auf Deinem Pi noch mehr installiert?
- Zur Heftpromotion wird Pi-Hole heute im c't uplink vorgestellt
  
  Tech & Media – <gelöscht>, 19.05.2018
  
  Die jeweils anderen als der zuständige Redakteur geben (<= so hoffe ich) sich Uplink-typisch völlig ahnungslos.
  
  Direkt zum Pi-Hole Beitrag
  https://youtu.be/fYbvwokDlEw?t=16m10s
  
  Ganz Sendung
- - Danke! n/t
    
    Tech & Media – macsudo, Ardey/Fröndenberg/Unna, 20.05.2018