PiHole

Da gibt es wirklich nicht viel zu schreiben - habt Ihr einen Pi mit dem letzten Lite Image (Datei ssh auf dem boot anlegen nachdem ein Image auf eine neue SD geflasht wurde damit SSH läuft) am laufen einfach

curl -sSL https://install.pi-hole.net | bash

aufrufen und schwupps alles andere geht austomatisch. (aktuelle Raspbian Version ist buster)

Vor der installation noch default pwd ändern (passwd) und evtl. den hostname anpassen (default in /etc/hostname raspberry). So sieht die GUI dann aus. Das admin pwd wird bei der installation generiert (aufschreiben):

• pihole -up: Ein Update des Pi-hole durchführen
• pihole -r: Den Konfigurator nochmal aufrufen, um bspw. Änderungen am DNS vorzunehmen
• pihole -g: Update der Blockierlisten anstoßen
• pihole -h: Hilfe

Anmerkung zu abfragen als wpad.localdomain. Diese sind prinzipielle nichts ungewöhnliches und dienen zur Autoproxyconfig. Nichtsdestotrotz kann das ein Sicherheitsproblem sein, da man hier zentral alle Rechner anweisen kann einen Proxy X zu verwenden.

EIne Lösung das zu verbesserung wird unter https://www.mielke.de/blog/Was-man-m…chen-kann--494/ vorgestellt.

Im Prinzip bedient dabei das piHole den entsprechenden DNS request (wenn der DHCP Server das nicht tut).

192.168.0.53 wpad.local wpad.localdomain wpad.com wpad.de wpad

sollte mit eurer localen pihole adresse (und namen) und den korrekten domains in der hosts datei stehen. Dann in /etc/lighttpd/external.conf

$HTTP["host"] =~ "wpad" {
server.document-root = "/var/www/wpad/"
mimetype.assign = (
".dat" => "application/x-ns-proxy-autoconfig",
".pac" => "application/x-ns-proxy-autoconfig"
)
}

eintragen damit das pi-hole den Datei request bedient. Dazu das dann noch im Webserver einrichten:

pi@pihole-a:/var/www $ sudo mkdir wpad
pi@pihole-a:/var/www $ sudo chown www-data wpad
pi@pihole-a:/var/www $ ls -lart
total 16
drwxr-xr-x 12 root     root     4096 Dec 21 10:54 ..
drwxrwxr-x  4 www-data www-data 4096 Dec 21 14:20 html
drwxr-xr-x  2 www-data root     4096 Dec 30 07:48 wpad
drwxr-xr-x  4 root     root     4096 Dec 30 07:48 .
pi@pihole-a:/var/www $ sudo chgrp www-data wpad
pi@pihole-a:/var/www $ ls -lart
total 16
drwxr-xr-x 12 root     root     4096 Dec 21 10:54 ..
drwxrwxr-x  4 www-data www-data 4096 Dec 21 14:20 html
drwxr-xr-x  2 www-data www-data 4096 Dec 30 07:48 wpad
drwxr-xr-x  4 root     root     4096 Dec 30 07:48 .

und die eigentliche proxy config anlegen mit:

pi@pihole-a:/var/www $ cd wpad
pi@pihole-a:/var/www/wpad $ sudo -u www-data vi wpad.dat
pi@pihole-a:/var/www/wpad $ cat wpad.dat
function FindProxyForURL(url, host) {
return "DIRECT";
}
pi@pihole-a:/var/www/wpad $

und den webserver neu starten

sudo service lighttpd restart

ruft im Browser wpad/wpad.dat auf und die wpad.dat datei müsste geladen werden. Sollte das nicht passieren (nslookup fehlschlagen)

Hier jetzt mal ein Bild meines PiHoles (es wird noch ein zweiter dazukommen). Unter dem Bild ein paar Erklärungen:

• Oben ist denke ich klar über 80 tausend DNS Abfragen die letzten 24h davon ca. 7% geblockt.
• Darunter der zeitliche Verlauf der Last.
• Dann das ganze pro Client
• Die Abfragetypen und die ANtwortserver in Kuchendiagrammen. ca. 50% wird von den beiden Windowsdomaincontrollern beantwortet (sdc & pdc). Viel direkt aus dem Cache und je ungefährt 7% kommt von der Blocklist oder geht final an den externen Router (Internet - 192.168.88.1).
• Meist erlaubte DNS abfrage ist elasticsearch (mein das ist Amazon und nein ich surfe nicht den ganzen Tag auf Amazon)
• Top verboten sind die klassichen Microsoftserver die man aber nicht wirklich braucht.

Mir hat das PiHole auf jeden Fall mehr Transparenz gebracht - die Oberfläche ist so einfach zu bedienen, dass ich jedem der eigene Rechner betreibt so ein PiHole nur empfehlen kann.