καλησπέρα παιδια,
θα ήθελα μια βοήθεια στην επιλογή dns server για οικιακή χρήση
αρχικά σκεφτόμουν την αγορά raspberry pi 4 + pi hole για block ads περισσότερο και self study με το hardware
σκέφτομαι όμως και την επιλογή του mikrotik μιας και έχει περισσότερες δυνατότητες γενικότερα
θα ήθελα όμως να γίνετε έλεγχος του traffic σε ένα log, block ads
σε περίπτωση που μπορώ να τα κανω αυτά και με ένα mikrotik σε ποιο μοντέλο να πάω ?
modem έχω του παρόχου λογο voip technicolor tg788v v3 + ένα AP tp link archer d7 μόνο για wifi
ευχαριστω !
Εμφάνιση 1-15 από 37
Θέμα: επιλογή dns server
-
21-08-20, 11:56 επιλογή dns server #1«Αν θες να πας γρήγορα πήγαινε μόνος σου, αν θες να πάς μακριά, πήγαινε με παρέα»
-
21-08-20, 12:40 Re: επιλογή dns server #2
Ο local dns server/proxy του microtik out-of-the-box μόνο στοιχειώδεις δυνατότητες έχει.
Μπορεί να στηθεί για add-blocking με σχετικά scripts
(βασικά σχεδόν τα πάντα μπορούν να γίνουν με τα σχετικά scripts...),
αλλά ποιος θα συντηρεί/ελέγχει/διορθώνει τα scripts είναι ένα θέμα.
Το pi-hole απ'την άλλη είναι πολύ πιο consumer-friendly για ad-blocking,
και θα παίξει χωρίς να σε παιδέψει ιδιαίτερα,
οπότε αν απλώς θέλεις dns-based ad-blocking είναι καλύτερη επιλογή.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
21-08-20, 13:02 Απάντηση: Re: επιλογή dns server #3«Αν θες να πας γρήγορα πήγαινε μόνος σου, αν θες να πάς μακριά, πήγαινε με παρέα»
-
21-08-20, 13:14 Re: επιλογή dns server #4
Για το mikrotik υπάρχουν όντως custom lists,
το πόσο καλά δουλεύουν και ποιός θα συντηρεί τα scripts όπως σου είπα είναι ένα θέμα.
Άμα έχεις όρεξη δοκίμασε το, έτσι κι αλλιώς τα tik φτηνά είναι.
Εγώ την τελευταία φορά που το δοκίμασα δεν ενθουσιάστηκα.
Το pi-hole καταγράφει ότι έχει να κάνει με dns requests.
Αυτά ξέρει/"βλέπει", αυτά καταγράφει.
Το τί έκανε ο client στο lan με την απάντηση που πήρε/δεν-πήρε από το pi/dns δεν έχει τρόπο να το ξέρει.
Δεν έχει τρόπο να καταγράψει λοιπό traffic εφόσον το traffic αυτό δεν περνάει από το pi.
Αν θες καταγραφή traffic ψάχνεις για firewall.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
21-08-20, 20:08 Απάντηση: Re: επιλογή dns server #5
-
21-08-20, 22:05 Re: Απάντηση: Re: επιλογή dns server #6
Υπάρχουν πολλά πράγματα για network traffic,
αλλά είτε εγκαθιστώνται στο router/firewall,
είτε το router/firewall στέλνει ένα αντίγραφο του traffic στην σχετική συσκευή για επιθεώρηση/ανάλυση/reporting.
Και γενικά το pi δεν κάνει για τέτοιες δουλειές.
Πάμε αναλυτικά:
Έχεις 2 διακριτά/δίκτυα/χώρους/έννοιες.
#1: lan, το προσωπικό σου δίκτυο στο σπίτι.
#2: wan (wide area network), βασικά το internet, και ότι άλλο εκτός lan.
Σχηματικά:
[WAN/internet (a billion hosts)] ---> [isp] --->xdsl---> [dsl modem/router] ---> [switch] ---> [lan host #1] + [Lan host #2] + [whatever lan host #ν (pi?)]
Αυτό που συνδέει τα 2 δίκτυα (lan + wan) είναι το router που κάθεται ανάμεσα τους.
Στα οικιακά δίκτυα, τυπικά είναι το cpe του isp, δυνητικά μπορεί να είναι και άλλος εξοπλισμός.
Ο κόμβος λοιπόν που περνάει όλο το traffic είναι το router.
Αν θες logs/reporting/etc εκεί θα το κάνεις.
Ότι και να εγκαταστήσεις στο pi που θα είναι σε μία άκρη του lan σου με ip πχ 191.168.1.2,
δεν θα έχει ιδέα για την κίνηση από/πρός τους υπόλοιπους hosts του subnet γιατί απλούστατα η σχετική κίνηση δεν περνάει από αυτό.
Το pi θα μπορούσε μια χαρά να σου κρατήσει logs για το traffic που είχε το ίδιο με άλλους hosts, αλλά μέχρι εκεί.
Για τα mikrotik έχει υπόψιν:
Αν θες reporting του τύπου:
"η συσκευή τάδε με local ip δείνα, μπήκε την τάδε ώρα στα τάδε sites και χρησιμοποίησε τις χψ υπηρεσίες", δεν σου κάνει
Για routing και L3 firewalling μια χαρά είναι.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
22-08-20, 06:52 Απάντηση: επιλογή dns server #7
pfsense με pfblockerng. και λιγο διαβασμα. Κανει ακριβώς αυτό που ζητας. dnsbl + ip firewalling, με feed απο διαφορες λιστες.
-
22-08-20, 20:49 Απάντηση: επιλογή dns server #8
το pi εφόσον θα είναι dns server δεν θα γνωρίζει το τι ζητάει κάθε client ?
δεν εννοώ με βάση mac ανα request αλλά γενικά σαν σύνολο όπως κάνει το opendns που έχω ένα γενικό log ανά ημέρα
εκτός αν το router/firewall στέλνει ένα αντίγραφο του traffic στο opendns
ξέρω ότι με το pi έχω περιορισμένες δυνατότητες αλλά παρατηρώ ότι με το pi hole θα είναι λίγο αυτοματοποιημένα τα φίλτρα
στο mikrotik πρέπει να κάνω εισαγωγές και να ενημερώνονται, αν είναι όμως υπόθεση 4-5 κλικ και είναι μια διαδικασία απλή θα μπορούσε να γίνει«Αν θες να πας γρήγορα πήγαινε μόνος σου, αν θες να πάς μακριά, πήγαινε με παρέα»
-
22-08-20, 22:20 Απάντηση: επιλογή dns server #9
υπάρχουν διαφορα καλουδια που μπορει να κολλήσεις τα οποια ρωτανε τη γκοοκλη για dns, αγνοωντας την υπαρξητου pihole
-
22-08-20, 22:54 Απάντηση: επιλογή dns server #10
είχα mikrotik, ακόμη και να το στήσεις σαν ένα βασικό router παρόχου, όσον αφορά ασφάλεια, θέλει ψάξιμο,
φοβερά μηχανάκια για την τιμή τους και το hardware αλλά θα ρίξεις πολύ διάβασμα και δουλειά
και ότι κάνει ένα firewall δύσκολα έως απίθανο να πετύχεις
τώρα έχω Sophos XG,
κόψιμο διαφημίσεων, sites, applications (πχ μπορεί να σου κόψει μόνο videos από FB), VPN server κλπ με λίγα (πολύ λίγα) κλικς μόνο
-
22-08-20, 23:29 Απάντηση: επιλογή dns server #11
Με το hole έχεις αναλυτικά τα logs των dns requests.
Που κατά 90% είναι θόρυβος βέβαια, αλλά χρήσιμο είναι.
Το τί έκανε ο x host με την απάντηση που πήρε/δεν πήρε δεν το ξέρεις.
Αν σου φτάνει το παραπάνω, ok μια χαρά.
Έχε επίσης υπόψιν ότι το hole θα κόψει όντως πολλές διαφημίσεις,
σε καμία περίπτωση όλες.
Πολλές εφαρμογές έχουν hard-coded πού θα κάνουν request
(αυτό λύνεται αν μπορείς να κάνεις έναν κανόνα στο router να κάνει redirect στο hole),
και όσο περνάει ο καιρός, πολλές εφαρμογές κάνουν encrypted requests εκεί που γουστάρουν
(οπότε, ή κόβεις το πρωτόκολλο, ή παίρνεις ένα L7 firewall).
Έχε επίσης υπόψιν, ότι μέχρι να κάνεις fine tune το hole
επίσης θα χρειαστεί να ασχοληθείς και να ψάχνεις τι url θα επιτρέπεις στην whitelist,
γιατί με τις default ρυθμίσεις/φίλτρα πολλά πράγματα δεν θα σου παίζουν.
Επίσης, ίσως ήταν απλούστερο για σένα να δεις κάποια από τις σχετικές υπηρεσίες dns (opendns/adguard/whatever).
Παρεμπιπτόντως, πολύ καλό στο να κόβει ads είναι και το sophos utm (που έχει free άδεια για οικιακή χρήση),
και έχει και όσο reporting τραβάει η ψυχή σου.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
23-08-20, 11:33 Απάντηση: επιλογή dns server #12
Ειχα εχω και θα εχω μονο μικροτικ. Αν το βαλεις μια φορα σου δινει τοσες πολλες δυνατοτητες που δε νομιζω οτι θα ξανασχοληθεις με τπτ αλλο. Οσων αφορα τωρα το θεμα σου μπορεις απλα να δηλωσεις καποιον ετοιμο dns server που κανει για σενα ολα αυτα που ζητας και καθαρισες.
Άλλα Ντάλλα....
-
23-08-20, 11:45 Απάντηση: επιλογή dns server #13There's no substitute for experience
CorollaClub
-
23-08-20, 13:24 Re: Απάντηση: επιλογή dns server #14
Γίνεται με το mikrotik (βασικά με όποιο l3 router),
κάνεις έναν κανόνα "redirect input chain port 53 tcp/udt to host x" (όπου host x = hole)
και όλο το dns traffic θα πάει στο hole.
Γεγονός είναι ότι θα πιάσει τα πολλά.
Δεν θα πιάσει ότι είναι encrypted (κακόβουλο ή όχι),
και δεν θα πιάσει το quic.
Απορία:
Το untangle νομίζω έχει ad-blocker.
Γιατί προτίμησες το hole?Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
23-08-20, 14:33 Απάντηση: Re: Απάντηση: επιλογή dns server #15
Είναι παιδικό το adblocker του και πακέτο να κάνεις add custom λίστες ή οτιδήποτε γιατί τα θέλει σε json format για import με συγκεκριμένο τρόπο.
Το pihole είναι πολύ εύκολο.
Να συμπληρώσω στον παραπάνω κανόνα που λες για το mikrotik πρέπει να κάνεις με κάποιο τρόπο except το ip του pihole αλλιώς πέφτεις σε ατέρμονο loop.There's no substitute for experience
CorollaClub
Bookmarks