Pi-hole: podstawy, instalacja, konfiguracja
#1
Netbook Acer D260. Rozdzielczość ekranu - ani do pracy, ani do rozrywki. Intel Atom N450 1,66 GHz, 2 GB RAM. Uruchamianie przeglądarki internetowej jest jak czyściec - jak już się tam znajdziesz, to przypominasz sobie wszystkie grzechy, ale... Panowie, znalazłem zastosowanie dla tej rakiety. Lata temu pisałem Wam o projekcie Diladele Wab Safety, do którego miałem zamiar wrócić, ale jednak ilość wolnego czasu zweryfikowała moje skomplikowane założenia. Od supportu Diladele B.V (naprawdę profesjonalne podejście do klienta, gorąco polecam) otrzymałem licencję testową i gdyby nie kilka problemów technicznych z oprogramowaniem squid, to możliwe, że wszedłbym głębiej w projekt. Niestety temat umarł, ale w międzyczasie natrafiłem na inny projekt - Pi-hole. Z założenia bardzo łatwa instalacja, szybka konfiguracja i gotowe - potężny Acer Aspire One znalazł swoje zastosowanie jako lokalny DNS.

Nie będę zagłębiał się w techniczne szczegóły "jak to działa", ale zachęcam Was do zapoznania się z projektem.

Strona główna: https://pi-hole.net/
Blog: https://pi-hole.net/blog/
Discourse: https://discourse.pi-hole.net/ (chyba najważniejsze przy pierwszych krokach)

Początkowo Pi-hole zainstalowałem na Ubuntu 16.04 (ze względu na to, że moja ulubiona dystrybucja miała problemy ze squidem podczas zabawy z Diladele), ale w związku z tym, że mimo mojej słabej znajomości Linuksów, lepiej odnajduję się w Fedorze, finalnie postanowiłem, że to właśnie ona będzie służyła mi za fundament dla Pi-Hole.

Przygotowanie środowiska
Najgorsze jest to, że nie do końca pamiętam, jakie kroki wykonałem, żeby wszystko doprowadzić do aktualnego stanu, ale postaram się przybliżyć chociaż część z nich, w formie przyjaznej dla niezaawansowanych użytkowników.

Na świeżym systemie wyłączyłem SELinux (/etc/selinux/config):

Cytat:# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Zainstalowałem serwer SSH - żeby resztę rzeczy załatwić wygodniej, ze swojego laptopa prze Kitty, Putty, czy co kto woli:

Kod:
dnf install openssh-server

Kod:
systemctl start sshd

Wyłączyłem opcje usypiania systemu przy zamknięciu pokrywy (/etc/systemd/logind.conf, po modyfikacjach wymagane wykonanie dodatkowo polecenia systemctl restart systemd-logind lub ponowne uruchomienie systemu):

Cytat:#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See logind.conf(5) for details.

[Login]
#NAutoVTs=6
#ReserveVT=6
#KillUserProcesses=no
#KillOnlyUsers=
#KillExcludeUsers=root
#InhibitDelayMaxSec=5
#HandlePowerKey=poweroff
#HandleSuspendKey=ignore
#HandleHibernateKey=ignore
HandleLidSwitch=ignore
HandleLidSwitchDocked=ignore

#PowerKeyIgnoreInhibited=no
#SuspendKeyIgnoreInhibited=no
#HibernateKeyIgnoreInhibited=no
#LidSwitchIgnoreInhibited=yes
#HoldoffTimeoutSec=30s
#IdleAction=ignore
#IdleActionSec=30min
#RuntimeDirectorySize=10%
#RemoveIPC=yes
#InhibitorsMax=8192
#SessionsMax=8192
#UserTasksMax=33%

Instalacja i panel administracyjny Pi-hole
Nie twierdzę, że jakikolwiek fragment tekstu dotyczy czegoś mocno skomplikowanego, ale sama instalacja Pi-hole ogranicza się do jednego polecenia dostępnego m.in. na stronie głównej projektu. Podczas przechodzenia przez kolejne kroki kreatora instalacji i wstępnej konfiguracji, ważne żeby wybrać docelowy interfejs sieciowy, obsługiwany przed Pi-hole. Testy wykonywałem z pomocą karty sieci bezprzewodowej, a aktualnie korzystam z kabla - w końcu skoro serwer stoi obok routera, to dlaczego mam dodatkowo "obciążać" Wi-Fi. Warto też zapisać hasło do panelu administracyjnego, bo jest ono generowane pod koniec instalacji.

Panel zarządzania dostępny jest w przeglądarce pod adresem lokalnym http://IP_SERWERA/admin lub http://IP_SERWERA/admin/index.php. Są jeszcze inne kombinacje, ale z nich nie korzystałem.

Jeśli nie zapamiętaliście hasła do panelu, to można je łatwo zmienić za pomocą polecenia:

Kod:
pihole -a -p

Po zalogowaniu widzimy dashboard:

[Obrazek: uFgGSU0.png]

W ustawieniach można m.in. skonfigurować serwer DHCP lub wybrać zewnętrzne serwery DNS:

[Obrazek: acnmJlX.png]

Ocenę programu zostawiam osobom, które z niego korzystały lub nawet bez korzystania mają jakiekolwiek zastrzeżenia poparte rozsądnymi argumentami. Ja po około tygodniu jestem bardzo zadowolony. Muszę jeszcze popracować nad listą domen do filtrowania, ale stopniowo uzupełniam konfigurację i mam nadzieję, że Wam również się spodoba.

PS
Fajną funkcją jest podgląd tego, co się aktualnie filtruje:

Kod:
pihole -t

Albo stan pracy Pi-hole z kilkoma informacjami:

Kod:
pihole -c

[Obrazek: 4z9IZe1.png]

Resztę przydatnych poleceń znajdziecie sami Wink

Smacznego.

Źródła:
https://ask.fedoraproject.org/en/questio...uspension/
https://discourse.pi-hole.net/t/how-do-i...sword/1328
SpyShelter Firewall
Odpowiedz
#2
Małe pytanko, linki kryjące się za referrerem są blokowane czy można przejść na strone do której kierują ?
Odpowiedz
#3
(17.02.2018, 20:16)zord napisał(a): Małe pytanko, linki kryjące się za referrerem są blokowane czy można przejść na strone do której kierują ?

Hm... Jeśli dobrze Cię rozumiem, to można przejść na stronę, do której kierują. Podaj mi jakiś konkretny przykład i Ci sprawdzę.
SpyShelter Firewall
Odpowiedz
#4
np coś takiego
Kod:
http://clkuk.tradedoubler.com/click?p(229227)a(2381265)g(20885020)epi(06004n5qf240)url(https://mediamarkt.pl/komputery-i-tablety/komputer-kiano-slimstick)


Testowałem kilka adbloków opartych na DNS i wszystkie blokują tego typu linki
Odpowiedz
#5
Nie działa.

[Obrazek: DMhwde1.png]
SpyShelter Firewall
Odpowiedz
#6
Czyli jak dla mnie odpada bo często muszę przechodzić przez tego typu linki :/
Odpowiedz
#7
Niestety, clkuk.tradedoubler.com znajduje się na liście blokowanych pozycji w pliku gravity.list. Listę można dowolnie modyfikować.
SpyShelter Firewall
Odpowiedz
#8
Zastanawiałem się, czym się Nikita zajmuje, jak go nie ma... już wiem Wink

(17.02.2018, 20:39)zord napisał(a): np coś takiego
Kod:
http://clkuk.tradedoubler.com/click?p(229227)a(2381265)g(20885020)epi(06004n5qf240)url(https://mediamarkt.pl/komputery-i-tablety/komputer-kiano-slimstick)


Testowałem kilka adbloków opartych na DNS i wszystkie blokują tego typu linki

Przejdę do drobnego offtopa, bo jak nie teraz, to zapomnę - nie istnieje jakieś rozszerzenie do przeglądarki, które by zmieniało takie ref linki na linki bezpośrednie. Ręczne poprawianie ich po trafieniu na ścianę uBlocka nie zawsze jest fajne... A to jest zbyt oczywiste, żeby ktoś na to nie wpadł.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#9
(17.02.2018, 21:29)Mcin napisał(a): Zastanawiałem się, czym się Nikita zajmuje, jak go nie ma... już wiem

Aż tak dużo czasu to nie wymagało, ale faktycznie przykre, że mnie nie ma, rozumiem Was Tongue

(17.02.2018, 21:29)Mcin napisał(a): Przejdę do drobnego offtopa, bo jak nie teraz, to zapomnę - nie istnieje jakieś rozszerzenie do przeglądarki, które by zmieniało takie ref linki na linki bezpośrednie. Ręczne poprawianie ich po trafieniu na ścianę uBlocka nie zawsze jest fajne... A to jest zbyt oczywiste, żeby ktoś na to nie wpadł.

Wychodzi na to, że nie ma czegoś takiego Grin
SpyShelter Firewall
Odpowiedz
#10
Gdybym miał więcej cierpliwości, wkuwałbym teraz Javascript i WebExtensions i stworzył...
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#11
Kiedyś korzystałem. Zainstalowałem na serwerze od Aruby za 5zł /mc. Ale porzuciłem program, ponieważ z VPN-a korzystam innego, a blokowanie reklam załatwiam przez uBlocka na mobilnej przeglądarce Firefox. Niestety do mobilnego Chrome nie da się instalować rozszerzeń, więc jak ktoś nie ma roota w taki sposób może blokować reklamy.
Odpowiedz
#12
(02.03.2018, 09:55)adrian.sc napisał(a): Kiedyś korzystałem. Zainstalowałem na serwerze od Aruby za 5zł /mc. Ale porzuciłem program, ponieważ z VPN-a korzystam innego, a blokowanie reklam załatwiam przez uBlocka na mobilnej przeglądarce Firefox. Niestety do mobilnego Chrome nie da się instalować rozszerzeń, więc jak ktoś nie ma roota w taki sposób może blokować reklamy.

A co z innymi urządzeniami w domowej sieci? Wink Ja właśnie chciałbym skonfigurować Pi-Hole, żeby ograniczyć ilość śmieci w przeglądarce mojego TV.
SpyShelter Firewall
Odpowiedz
#13
(06.03.2018, 09:52)nikita napisał(a):
(02.03.2018, 09:55)adrian.sc napisał(a): Kiedyś korzystałem. Zainstalowałem na serwerze od Aruby za 5zł /mc. Ale porzuciłem program, ponieważ z VPN-a korzystam innego, a blokowanie reklam załatwiam przez uBlocka na mobilnej przeglądarce Firefox. Niestety do mobilnego Chrome nie da się instalować rozszerzeń, więc jak ktoś nie ma roota w taki sposób może blokować reklamy.

A co z innymi urządzeniami w domowej sieci? Wink Ja właśnie chciałbym skonfigurować Pi-Hole, żeby ograniczyć ilość śmieci w przeglądarce mojego TV.

Ale co co? Smile

Chcesz podłączyć inne urządzenie, to:

a. zmieniasz DNS w ustawieniach sieci na IP serwera, na którym jest zainstalowany Pi (z kolei w Pi konfigurujesz DNS od Google, OpenDNS, Comodo, Symanteca czy jakoś tak to było - do wyboru)
b. lub zmieniasz DNS na routerze, aby kontrolować wszystkie urządzenia w sieci LAN

Poradnik instalacji: https://zaufanatrzeciastrona.pl/post/jak...nie-tylko/
Odpowiedz
#14
Nie zrozumieliśmy się. DNS jest ok, skonfigurowałem wszystko i działa. Miałem na myśli to, że niestety nie na wszystkich urządzeniach można skorzystać z dodatków takich jak uBlock, Adguard, itp. I tutaj z pomocą przychodzi Pi-Hole. Właśnie na przykładzie TV Wink
SpyShelter Firewall
Odpowiedz
#15
Witam,
moglibyście polecić blocklists co warto używać w Pi-hole ?

pozdrawiam
Odpowiedz
#16
Ostatnio nieco testowałem Adguarda Home, ale że ma jeszcze nieco problemów, zainteresowałem się tym tematem.
Pi-hole puszczony na VPS, pod niego skonfigurowany telefon (jako własny DNS w Adguardzie na Androida) oraz komputer. Działa bardzo ładnie, naprawdę sporo wycina już na takim poziomie, że przeglądarka na komputerze ma mniej roboty. Jak na razie jestem zadowolony.

Jakby ktoś szukał list, to są bardzo obszerny zbiór jest dostępny tutaj:
https://www.certyficate.it/polskie-filtr...ie-reklam/

Dodatkowa zaleta jak dla mnie - mogę na jego poziomie zablokować pewne witryny, których w żadnej sposób nie potrzebuję / nie chcę odwiedzać choćby przypadkowo. Interfejs wygodny i przejrzysty, chyba nawet bardziej niż ten z Adguarda Home.
Nadzieja jest w zwycięstwie
Odpowiedz
#17
W VPS ? Jak to porównać do Rpi ?
Czy ten VPS masz u Siebie czy w serwerze w jakimś data center ?
Pozdrawiam
Odpowiedz
#18
VPS to vps, wirtualka, część całego serwera, którą ja mogę dysponować i zarządzać - ma swój IP itd. Jest w jednej z firm oferujących VPSy. Leżał odłogiem to sobie zrobiłem na testy.

Zaleta taka, że jest dostępny z każdego miejsca, nie ogranicza się do sieci lokalnej jak to ma miejsce w przypadku Rpi (no chyba, że go wypuścimy na świat).
Sama zasada działania natomiast identyczna, to linux z zainstalowanym pihole i tyle.
Nadzieja jest w zwycięstwie
Odpowiedz
#19
Dzięki za odpowiedź. W tym wykonaniu to rzeczywiście duży plus za dostęp z każdego miejsca. Dużo się płaci za taki VPS ?
Odpowiedz
#20
Najtańsze z Polski to około 12-15 zł na miesiąc.
Można urwać jeszcze taniej na jakichś promocjach.

Zakup pod samo pihole moim zdaniem bez sensu, no chyba że mamy sporo urządzeń w domu i jakoś to wykorzystamy.
Nadzieja jest w zwycięstwie
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości