wh1te-rabbit.de Debian10 als Firewallrouter, Installation und Konfiguration

Letztens kam mir das Thema auf Heise.de auf den Teller, mit einem netten HowTo für eine Installation auf einem Raspberry Pi. Da ich sowas auch habe, musste ich das sofort mal ausprobieren und war so begeistert, das ich direkt ein paar Euro rübergeschoben habe.

Also Pi-Hole macht unterm Strich nichts anderes als die vorhin beschriebene Nullzone, nur einfach mal viel netter, mehr Listen, bequemer zu Bedienen inkl. Webserver, Dashboard und so. Wer nun meint, nach all dem Trara der vergangenen Seiten, ich würde sowas verteufeln, – nö.
Manchmal muss auch ein bisschen BlingBling sein.
Wer aber einen Hang zur Paranoia hat, sollte die Finger davon lassen und bei der Nullzone bleiben. Es ist doch etwas verstörend zu sehen, daß der Multimediareceiver einen Platz in den Top-Rankings einnimmt, – obwohl er aus ist….( ok, standby, aber trotzdem! – würde meine Frau jetzt sagen…)

Wer aber Spaß daran hat seine Geräte im Netz noch weiter zu maßregeln, für den ist Pi-Hole ein gefundenes Fressen. Alles wird hübsch grafisch dargestellt und mit einem Klick ist zu sehen wie der Smart-TV auf Android unverschämt im Netz rumschreit, mit einem weiteren Klick ist dem ein Riegel vorgeschoben. Und man glaubt kaum wieviel man verbieten kann ohne die persönliche Funktionalität zu beeinträchtigen. All das wäre mit tcpdump und Wireshark zwar auch möglich, aber um einiges mühseliger und langweiliger.

https://pi-hole.net

Hier steht alles was man wissen muss, wie es auf dem Pi installiert wird, und wie es im Netz eingesetzt werden kann.
Für unsere Konfiguration reicht es dem Pi als forwarder den Bind vom Gateway einzutragen, und im DHCP die IP-Adresse des Pi als Nameserver.
In der Datei rules werden die Regeln angepasst:

DNS(ACCEPT)     $FW             net
DNS(ACCEPT)     cid             loc:10.0.0.73
DNS(ACCEPT)     loc:10.0.0.73   $FW

Damit kann Bind9 weiter im Internet fragen, Subnetz cid darf nur noch den Raspberry Pi 10.0.0.73 fragen, Subnetz loc sowieso, aber Bind9 nur der Raspi.
Damit kommt keiner an Pi-hole vorbei.

Was auch interessant wäre, Pi Hole statt Bind9 auf derselben Maschine zu betreiben, sagt Pi-Hole doch, es sei nicht auf Raspberry Pi fixiert. Für Debian 10 ist es zwar ( noch ) nicht offiziell, aber –
probieren…

Update: Das geht ganz wunderbar, der einzige Trick bei Debian ist den Install um das Kommando zu erweitern, den Systemcheck zu überspringen:

curl -sSL https://install.pi-hole.net | PIHOLE_SKIP_OS_CHECK=true bash

Natürlich muss später dafür gesorgt werden, daß das WebGui von Pi-Hole nur aus dem lokalen Netz erreichbar ist.

Spätere Updates sind analog mit

PIHOLE_SKIP_OS_CHECK=true pihole -up

zu fahren.

reicht denn nur der Pi-Hole?…

Mehr

Update 12.2020:
Die Listen von malwaredomains und hosts-file sind nicht mehr erreichbar.
The malwaredomains default list has been deprecated
Damit ist ein Grossteil der „blocked domains“ entschwunden. Zeit also eine Alternative zu suchen und fündig zu werden:

Replacement for Malwaredomains list?

The Block List Project

Diese Listen werden unter dem Reiter:

Group Management
Adlists

eingetragen.

Ein weiterer interessanter Ansatz:

Regex Filters for Pi-hole

Mit unseren Kenntnissen über das Script vorhin könnte man diese Liste aber auch zur Nullzone rüberholen, wenn man genug gespielt hat…

Die Dateien zum Pi-hole liegen unter
/etc/pihole
die Scripte unter
/opt/pihole

ein Blick darein vermittelt eine Vorstellung was geht.

next > DoH und DoT