• Pihole - coole Sache das :)

    Ich habe mir für knapp 50 Euro einen Raspberry Pi 3 mit 16GB SD Card gekauft (HDMI, USB, Ethernet, Bluetooth, Wlan)

    Da war schon alles vorinstalliert, auch Open Office, etc.

    Eingesteckt, angeschlossen, läuft.

    Dann nach dieser Anleitung konfiguriert:

    https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/

    Läuft alles ohne Problem, alles superschnell, das Internet ist nun frei von Trackern, Werbung, etc.
    (Ausser natürlich bei ausgewählten Seiten, wie hier).

    Wahnsinn, was da so alles im Hintergrund abläuft, geladen und getrackt wird.

    Meine klare Empfehlung.

    Und da alles schon im DNS-Server geblockt wird, ist das auf allen Geräten so

      • sicher? Pihole ist ja nicht selbst ein vollwertiger DNS-Server, sondern blockt 'nur' ...

        bestimmte DNS-Anfragen nach aussen. Den DNS-Server "draussen" braucht es doch trotzdem noch, entweder den vom Provider oder einen oeffentlichen wie die von Google 8.8.8.8 oder z.B. die neuen ohne Google 1.1.1.1. Denen musst Du doch ohne Pihole auch vertrauen. Es gehen mit Pihole ja nur weniger Anfragen an diese externen DNS-Server, weil manche geblockt werden. Aber wie sollte so Phishing moeglich sein?
        ----------
        Das Wahlvolk will betrogen werden, aber einen gewissen Qualitätsanspruch wird man doch haben dürfen. (Georg Schramm)

        • Lt. der Anleitung wird der Pi Hole als kompletter DNS genutzt, siehe 4.3

          4.3 Einrichtung als DNS-Server

          Damit Werbung und Tracker nun vom Pi-hole blockiert werden, müsst ihr den Pi euren Geräten als DNS-Server bekannt machen. Drei praktikable Varianten:

          Variante 1 – Manuell: Ihr könnt den DNS-Server manuell in euren Geräten eintragen. Das bedeutet: Jedes Gerät muss einzeln auf den neuen DNS-Server konfiguriert werden. Bei 3 – 4 Geräten ein überschaubarer Aufwand.

          Variante 2 – per DHCP: Wer die IP-Adressen in seinem LAN von seinem Router verwalten lässt, der kann den neuen DNS-Server darüber bekannt machen. Beispiel Fritz!Box: »Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen -> IPv4-Adressen«. Unter »Lokaler DNS-Server« tragt ihr die IP-Adresse des Pi-hole ein. Optional: Anschließend ruft ihr die Pi-Hole Weboberfläche auf tragt dort die Fritz!Box (erlaube non-FQDN-Anfragen) als ersten DNS-Server ein. Vorteil: Die lokalen Hostnamen der Fritz!Box sind wie gewohnt über den DNS-Namen erreichbar.

          Variante 3 – Router: Ihr könnt in eurem Router als neuen DNS-Server auch einfach die IP-Adresse des Raspberry Pi’s eintragen. Vorteil: Für die Clients ändert sich nichts. Diese stellen ihre DNS-Anfragen wie gewohnt an euren Router, der die Anfrage dann an den Pi-hole weiterleitet. Auf Fritz!Boxen funktioniert das allerdings aufgrund der integrierten DNS-Rebind Protection nicht.

          Wer pflegt diese Listen? Wer hat Zugriff auf die Quellen?

          • nein, wird er nicht ...

            er übernimmt nicht die DNS-Funktion, sondern filtert nur die DNS-Anfragen. Du musst im Pi-hole ja zwingend einen externen DNS-Server eintragen. An den gibt Pi-hole die Anfrage weiter, sofern sie nicht auf den Blacklists steht. Er beantwortet die Anfragen aber nicht selbst!

            Aber natürlich muß man bei den Clients den Pi-hole als zuständigen DNS-Server eintragen, denn er ist die erste Anlaufstelle.

            Sorry, aber da biste einfach aufm Holzweg. Mehr als "zuviel blockieren" kann da meiner Meinung nach nicht schief gehen. Phishing-Möglichkeit seh ich da nicht.
            ----------
            Das Wahlvolk will betrogen werden, aber einen gewissen Qualitätsanspruch wird man doch haben dürfen. (Georg Schramm)

              • Doch wird er.

                es wird eine Liste gepflegt, darauf ist ein Eintrag
                werbung1.server.de der zeigt ohne Pi Hole auf die IP 1.2.3.4

                Da dieser Server dem Pi Hole bekannt ist steht da jetzt nicht mehr 1.2.3.4 sondern es wird umgeleitet auf die 4.3.2.1 oder sonstwas, Hauptsache der Werbungsserver wird nicht mehr erreicht.


                Wenn jemand diese Liste in die Finger bekommt und draufschreibt

                homebanking.meinebank.de und eine Phishing Seiten IP dann wird der Pi Hole Dich dahin umleiten, sobald Du die kompromitierte Liste eingespielt hast.

                Daher meine Frage, wer pflegt diese Listen und wie sind sie gegen Missbrauch geschützt?

                • ich nochmal :) ...

                  hab jetzt nochmal ein wenig recherchiert, weil mir das keine Ruhe gelassen hat

                  In der Theorie hast Du vermutlich Recht, wenn Pi-hole die kompletten Listen verwenden wuerde. Allerdings sind die Listen ja oeffentlich, sprich die kann jeder auch kontrollieren. Die haben ja entweder nur ne Domain drinstehen oder verweisen auf 127.0.0.1 oder 0.0.0.0. Das koennte man ja auch ganz einfach beim Laden der Listen checken, ob da irgendwo anders hingeleitet wird.

                  ABER: wenn ich das hier richtig interpretiere: https://github.com/pi-hole/pi-hole/wiki/Core-Function-Breakdown#gravity dann verwendet Pi-hole eh nur die Domainnamen von den Listen, macht also beim Import der Listen eh alle IP-Adressen weg und setzt die Umleit-Adresse bei nem Treffer also eh selbst. Und dadurch muesstest Du schon IP-hole selbst im Sourcecode umaendern und den Leuten unterjubeln, um dann einzelne oder alle Adressen auf ne ganz andere IP umzuleiten.

                  Mich wundert einfach dass das nirgends als Thema auftaucht und selbst Datenschuetzer und brauchbare Redaktionen wie c't dieses System empfehlen. Von daher wuerde ich mich schon wundern wenn das so einfach kompromitierbar waere. Aber ich lass mich gern eines besseren belehren, wenn Du noch andere Quellen bzw. Erklaerungen hast.
                  ----------
                  Das Wahlvolk will betrogen werden, aber einen gewissen Qualitätsanspruch wird man doch haben dürfen. (Georg Schramm)

                  • und noch ne kleine Ergaenzung ...

                    ... Pi-hole leitet ja wohl immer auf den eigenen integrierten Webserver bei nem Positivtreffer, liefert also ja tatsaechlich ein leeres Bild/Seite zurueck und routet nicht einfach nach 0.0.0.0 bzw. 127.0.0.1.
                    ----------
                    Das Wahlvolk will betrogen werden, aber einen gewissen Qualitätsanspruch wird man doch haben dürfen. (Georg Schramm)

    • als abgespekte Version geht das auch mit Boardmittel der Fritzbox....

      Man kann auc der Fritzbox eine Blacklist erstellen.
      Diese kann aber nur eine bestimmte Anzahl an Domains aufnehmen.
      Fertige Filterlisten gibt es im Netz.
      https://www.xobit.de/cyber-zone/downloads/category/2-sicherheit

      Ich selbst hab einen eBlocker.
      Weil ne DNS Sperrliste ist nur die halbe Miete.
      Wenn die Trecker/Ads auf der Webseite eingebaut sind und nicht von extern laden greift die Sperrliste nicht.
      Der eBlocker schaut sich den Traffic an und kann auch das ausfiltern.
      Wenn man will auch bei https Verbindungen.
      ----------
      Der Gesunde hat viele Wünsche, der Kranke nur einen.

    • Wie sehen die Langzeiterfahrungen nach 9 Monaten aus?

      Ich überlege Pi Hole als zentralen AdBlocker zu verwenden, allerdings nicht bei mir selber, weil mir einige Funktionen durch das reine DNS basierte Blocking fehlen.

      Ich habe einen Pi Zero W und einen 3B+ bestellt. Der Zero W soll der Pi-Hole Server werden (für zwei ständige Nutzer Mac/iOS , Smart TV und Streaming Equipment ) und dort völlig "wartungslos" an einer Fritzbox 7590 laufen, die Stromversorgung soll die Fritzbox übernehmen, was von den reinen Verbrauchsdaten funktionieren sollte.

      Das Setup will ich an meiner Fritzbox eine Woche testen, ob das tatsächlich so hinreicht oder eine externe Stromversorgung notwendig wird. Und wenn alles gut läuft, geht das Teil so fertig-/vorkonfiguriert wie möglich auf die Reise, wird dort an die Fritzbox gesteckt und per TeamViewer Session "endmontiert" - so ist zumindest aktuell der Plan.

      Das "Wartungslos" bezieht sich auf das automatische Update der Listen und wenn möglich auf das selbständige Update der Pi-Hole Version, sowie die Reaktion auf unterschiedliche äußere Umstände, wie Ausfall der Stromversorgung, Neustart der FritzBox und was mir dann noch so einfällt, was man simulieren kann. Wichtig ist, daß das ganze von alleine wieder in einen stabilen Zustand kommt.

      Als OS will ich auf dem Zero DietPi verwenden. Da die Pis noch nicht da sind und damit ich mich trotzdem einarbeiten kann, habe ich mir ein DietPi Image für Virtualbox geladen und darauf Pi-Hole installiert, das bietet DietPi standardmäßig mit an.

      Manches ist mir von der Bedienung noch unklar, wie z.B. welches Logging sinnvoll/hinreichend ist, und ob das Hinzufügen der zu blockenden Server tatsächlich nur über die Pi-Hole Oberfläche geht oder nicht auch per Plugin o.ä. im Browser, wie bei uBlock das Element markieren das weg soll und das dann bestätigen, aber da schaue ich noch. Falls es jemand aus dem Stand weiß, spart mit das natürlich etwas Zeit. Ansonsten scheint Pi Hole zumindest in der VM gut zulaufen.

      Aber da Ihr schon Erfahrungen gemacht habt, muß ich ja nicht ohne Not jeden Fehler selber machen, so mal wenn die Kiste für mich dann nur noch Remote administriebar ist.

      Läuft das ganze bei Euch stabil?
      Klappen die Listen/Pi-Hole Updates?
      Gibt es empfehlenswerte zusätzliche Listen?
      Gibt es größere Probleme auf Anwenderseite?
      Konfigurationstips für die Fritzbox?
      Es scheint da unterschiedliche Meinungen zu geben, wie man PiHole denn am besten/effizientesten in den Router einbindet.

    • Was ist denn da der Unterschied zu eBlocker? Nur so ganz basal :-)

      Ich hatte hier seit Oktober eBlocker laufen und habe es nun abgeklemmt, weil trotz Freischalten diverse Seiten nicht gut laufen (AirBNB und mitunter zeit.de) was supernervig ist. Beides war als verteauenswürdig eingestuft und hat keine Bilder oder nen Serverfehler gebracht
      Gerne würde ich den eBlocker nutzen und es ist unfassbar, wieviele Daten da im HG abgegriffen werden. Aber wenn das Zeug nicht ohne Generve läuft, wird es halt echt schwierig...
      ----------
      Scheiß der Hund drauf.

      • Zum eBlocker kann ich nur sagen:


        Es ist leider wahrlich keine Plug'nPlay-Lösung!

        Inzwischen empfehle ich das Teil auch keinem mehr weiter, da schon eine gewisse Überzeugung und Leidensbereitschaft dazu gehört, dies Teil am Laufen zu halten. Man muss letztlich doch recht viel Arbeit reinstecken. Zweimal musste ich meine Box auch schon einschicken und der Support ist bei schwierigen Problemen echt schnarchig!
        Allerdings: wenn man alles hinbekommen hat und nicht irgendein Update alles zerschießt hat man ein Gerät, welches ich nicht mehr missen möchte! Ich denke, solange es noch kein ausreichendes politisches Bewusstsein/Interesse für Privatsphäre im Internet gibt, sollten solche Techniken auf jeden Fall unterstützt werden!

        Ganze Seiten als vertrauenswürdig einstufen, musste ich bisher noch nicht – widerspricht auch irgendwie dem Sinn der Box. Einzig meine Bankseite, die der eBlocker unberührt lassen soll, ist auf dieser Liste. Bei Zeit.de hatte ich noch keine Probleme, AirBNB nutze ich grundsätzlich nicht. Okay, Pornoseiten gehen garnicht - da läuft einzig die Box heiß...

        Für die mobile Nutzung, für mich eine Kernfunktion der Box, braucht es zwingend IPv4 und ein Upload von mind. 40Mbit (und bei mir musste ich die 7490 gegen eine 7590 austauschen), dann ist auch ein Flaschenhals nicht mehr wirklich spürbar.

        Wollte ich nur mal erwähnt haben, da ich eBlocker hier auch empfohlen hatte. Ich hoffe darauf, dass eBlocker sich in den nächsten ein-zwei Jahren zu einem einfach nutzbaren Produkt entwickeln wird.
        ----------
        Mach! [prism-break.org] Dich! [kuketz-blog.de] Frei! [privacy-handbuch.de] | No [posteo.de] iCloud! [nextcloud.com]