[TUTO] Pi-Hole blocage des pubs sur le réseau

[Dimebag Darrell]

c'est actuellement là où j'ai créé mes dossiers sur le syno

/volume1/docker/pihole/pihole
/volume1/docker/pihole/dnsmasq.d

voila ce que j'ai mis dans le docker compose yaml

volumes:
       - /volume1/docker/pihole/pihole:/pihole
       - /volume1/docker/pihole/dnsmasq.d:/dnsmasq.d

Modifié le 15 juillet 2020 par Dimebag Darrell

[.Shad.]

Sauf que dans le conteneur, le chemin c'est /etc/pihole et /etc/dnsmasq.d, toi tu as mis /pihole et /dnsmasq.d (à droite des ":").
Ça ne peut pas marcher.

[Dimebag Darrell]

OK, je vais essayer ça merci

 

[Dimebag Darrell]

ça semble fonctionner, merci pour les indications @.Shad. @bruno78🙂

Une question concernant l'application elle-même, il a la possibilité de créer des groupes, je suppose que par défaut, il va filtrer par rapport aux liste qui ont été uploadée ?

 

[firlin]

Bonjour,

Vous avez un exemple de liste a ajouté ?

[Invité]

Salut @firlin

Voici ce que j'utilise :

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts	
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/mobile.txt
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/smarttv.txt
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/nomsdata.txt	
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/gamefake.txt	
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/jbfake.txt
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/fakenewsde.txt	
https://blocklist.site/app/dl/ads
https://blocklist.site/app/dl/gambling
https://blocklist.site/app/dl/malware
https://blocklist.site/app/dl/phishing
https://blocklist.site/app/dl/ransomware
https://blocklist.site/app/dl/spam	
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/adobeblock.txt	
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/other.txt	
https://justdomains.github.io/blocklists/lists/easylist-justdomains.txt	
https://raw.githubusercontent.com/kboghdady/youTube_ads_4_pi-hole/master/black.list	
https://www.github.developerdan.com/hosts/lists/amp-hosts-extended.txt	
https://www.github.developerdan.com/hosts/lists/tracking-aggressive-extended.txt	
https://www.github.developerdan.com/hosts/lists/ads-and-tracking-extended.txt
https://blocklist.site/app/dl/piracy	
https://blocklist.site/app/dl/tracking	
https://blocklist.site/app/dl/scam	
https://blocklist.site/app/dl/porn

 

[bruno78]

Bonjour

@Dimebag Darrell : oui a priori on peut avoir des listes personnalisées pour chaque groupe. J'avoue que de mon côté je n'ai pas vu dans mon cas d'utilisation la nécessité de créer des groupes, et donc je n'ai que le groupe "Default". Donc je suis un peu "sec" sur la question

@firlin : des listes à ajouter : il y en a pléthore, mais il faut aussi rester raisonnable, sinon on tombe parano assez vite ! Par exemple : .... et ca me permet de voir que j'en ai qui ne sont plus maintenues !!! donc ménage à faire.

  [i] Target: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
  [✓] Status: Retrieval successful
  [i] Received 58343 domains

  [i] Target: https://mirror1.malwaredomains.com/files/justdomains
  [✓] Status: No changes detected
  [i] Received 26854 domains

  [i] Target: https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
  [✓] Status: No changes detected
  [i] Received 2705 domains, 3 domains invalid!
      Sample of invalid domains:
      - # Ad filter list by Disconnect
      - # License: GPLv3
      - # Contact: support [at] disconnect.me

  [i] Target: https://www.malwaredomainlist.com/hostslist/hosts.txt
  [✓] Status: No changes detected
  [i] Received 1110 domains, 1110 domains invalid!
 

  [i] Target: https://v.firebog.net/hosts/Prigent-Malware.txt
  [✓] Status: No changes detected
  [i] Received 105265 domains

  [i] Target: https://v.firebog.net/hosts/Prigent-Phishing.txt
  [✓] Status: No changes detected
  [i] Received 52132 domains

  [i] Target: https://phishing.army/download/phishing_army_blocklist_extended.txt
  [✓] Status: Retrieval successful
  [i] Received 15657 domains


  [i] Target: https://www.squidblacklist.org/downloads/dg-malicious.acl
  [✗] Status: Connection Timed Out (Cloudflare)
  [✗] List download failed: using previously cached list
  [i] Received 144531 domains, 10 domains invalid!
      Sample of invalid domains:
      - #  
      - #  sbl-dg-malicious: Squidguard or Dansguardian compatible - blacklist compiled by squidblacklist.org.    -Made In USA-
      - #  
      - #  You may freely use, copy, and redistribute this blacklist in any manner you like.
      - #  

 

[Invité]

je me sert des groupes pour les objets connecté par exemple j'ai un groupe pour mes box android tv ou je bloque netflix, ... qui sont pré-installé dessus et qui ne m'interesse pas ! Mais qui se connecte tout de meme sur internet en permanence quand la box est allumé !

[firlin]

Ok @EVOTk et @bruno78,  je veins de regarde chez moi j'ai ca (avec de commentaire ) Après j'ai une chrome cast et il faut faire une exception dans Pi-hole sinon elle ne fonctionne plus )

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://mirror1.malwaredomains.com/files/justdomains
http://sysctl.org/cameleon/hosts
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt ==> j'ai ce message [â] Status: s3.amazonaws.com is blocked by . Using DNS on 80.67.169.12 to download https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt ==> idem pour celui-ci
https://hosts-file.net/ad_servers.txt ==> ne focntionne plus chez moi
https://smokingwheels.github.io/Pi-hole/allhosts
https://gist.githubusercontent.com/anudeepND/adac7982307fec6ee23605e281a57f1a/raw/5b8582b906a94976c3f3187a49ebc23a9cf2fb/Test.txt ==>ne focntionne plus chez moi

Vous étés à combien de pourcentage de blocage en moyenne ?

 

[Invité]

il y a 21 minutes, firlin a dit :

Vous étés à combien de pourcentage de blocage en moyenne ?

Entre 35 et 45% généralement,

[bruno78]

10 à 15% quand les ados ne sont pas à la maison, 20 à 30% sinon ..... Je dis ça je dis rien .....

Envoyé de mon STF-L09 en utilisant Tapatalk

[Invité]

il y a 45 minutes, bruno78 a dit :

10 à 15% quand les ados ne sont pas à la maison, 20 à 30% sinon ..... Je dis ça je dis rien .....
 

Moi sa monte énormément si les box android sont allumé ( requetes vers netflix, ... ) !

Ici on voit clairement que la box etaitr allumé de 10h a 11h !

https://i.imgur.com/Xjxczrg.png

 

 

Modifié le 12 août 2020 par Invité

[bruno78]

ah oui quand même !
Bon je crois que je vais faire un groupe spécifique box PS4/Shield ....
Est ce que du coup on a accès à des statistiques différenciées par groupe ?
Bruno78

Envoyé de mon STF-L09 en utilisant Tapatalk

[Invité]

il y a 37 minutes, bruno78 a dit :

ah oui quand même !
Bon je crois que je vais faire un groupe spécifique box PS4/Shield ....
Est ce que du coup on a accès à des statistiques différenciées par groupe ?
Bruno78

Envoyé de mon STF-L09 en utilisant Tapatalk
 

Il y a des "Top" Client / Domain, ... mais je croit pas qu'il y est des stats par groupe, il faut que je regarde 😄

[.Shad.]

Perso j'ai laissé les listes par défaut, les fois où j'ai tenté d'en rajouter je me suis retrouvé avec beaucoup trop de faux-positifs à whitelister.

[anorec]

Je filtre avec des expressions régulières (liste dans ce sujet je crois) et j'ai aussi ajouté cette liste qui n'est pas parfaitement parsée mais qui contient plus de 1M de domaines.

Je n 'ai pas trop de problèmes de faux positifs avec mon utilisation raisonnée (mais je n'ai pas 'encore' d'ados à la maison^^).

[i] Target: https://emmanuel-lecoq.fr/wp-content/uploads/2020/02/Pi-hole-list.txt

  [i] Received 1333539 domains, 31761 domains invalid!

 

Modifié le 14 août 2020 par anorec

[jacaj]

Il y a 5 heures, cadkey a dit :

Dans mon cas, je ne vois pas les clients individuellement, par exemple, pc, box, smartphone en fonction de leur adresse ip locale, mais uniquement le routeur. Le seul client indiqué est mon routeur.
Comment avez-vous fait pour voir l'activité par client svp?

Il y a peut être d'autres possibilités, mais en bas de la page d'accueil, (Dashboard) il y a des tableaux nommés "Top Clients (total)" et "Top Clients (blocked only)"
Il suffit de cliquer sur une des adresses listées pour avoir tous les logs de ce client...
Et dans Tools / Network, il y a la liste de tous les clients.

Modifié le 28 août 2020 par jacaj

[jacaj]

Ok, alors c'est un problème de config entre Pi.hole, le Nas/Docker, la config DHCP/DNS, et celle des clients.

Comme je suis en VM Freebox Delta, je ne vais pas me prononcer, mais le sujet a déjà été abordé ici:
https://www.nas-forum.com/forum/topic/64458-problème-pi-hole-dns-server/

 Il y a aussi une explication de ton problème, au paragraphe "Configuration de votre routeur – Blocage des annonces pour toute la maison" de ce site:
https://mediacenterz.com/tutoriel-complete-pi-hole-bloqueur-dannonces-pour-toute-la-maison/

Modifié le 28 août 2020 par jacaj

[.Shad.]

Essaie ce réglage :

Vu que ton routeur héberge le conteneur, il ne va pas chercher plus loin, il faut autoriser la possibilité de remonter un cran en arrière.

[.Shad.]

Ce que j'ai surligné.

[anorec]

J'ai un peu le même soucis mais n'est ce pas le fonctionnement normal puisque c'est le routeur qui fait les requêtes à Pihole si le DHCP/DNS est sur le routeur?

En fixant l'IP sur les clients et en indiquant l'@IP pihole dans le DNS du client ça permet de voir les requetes du client dans Pihole.

[anorec]

@cadkey Je n'ai pas testé depuis l'extérieur et je ne suis pas sûr que ça fonctionne directement mais je ne suis pas expert en réseaux... dans mon esprit, à partir du WAN, le routeur écoutera bien le port DNS (53) et si le parefeu l'autorise, transférera le port vers une @IP locale:port si une règle est définie. Toujours dans mon esprit, je me dis alors que ça peut fonctionner en indiquant dans le DNS du Smartphone l'@IP fixe publique du routeur et en transférant sur le routeur le port DNS (53) vers l'@IP locale du NAS (ou l'@IP du conteneur Pihole si en macvlan).

Si ca fonctionne, je ne suis par contre pas certain que ce soit une bonne pratique au niveau de la sécurité. C'est peut être plus adroit de passer par une liaison VPN avec accès au serveur LAN (voir le tuto VPN serveur) et d'indiquer alors directement l'@IP locale du serveur DNS Pihole dans le smartphone. 

Ce ne sont que des suppositions, d'autres membres bien plus expérimentés sont mieux à même de te répondre sur cet usage.

Modifié le 29 août 2020 par anorec

[.Shad.]

On va faire le point sur la manière dont fonctionne Pi-Hole.
Lorsque vous êtes sur votre réseau, si vous n'avez rien touché, la box va diffuser via DHCP sa propre IP comme serveur DNS. Cela veut dire que tous les clients vont utiliser les IP envoyées par la box.
Normalement cela se résume à envoyer sa propre IP (par exemple 192.168.1.1), et dans ce cas-là les DNS consultés seront ceux que la box elle-même utilise, généralement ceux du FAI.

Ça c'est le fonctionnement lorsque vous n'avez rien touché.
Si vous souhaitez que les clients utilisent automatiquement l'IP de Pi-Hole, il faut modifier dans les paramètres de votre serveur DHCP (donc dans la box ou votre routeur) la ou les IP des serveurs DNS distribués aux clients.
Et mettre celle de Pi-Hole, probablement celle du NAS dans votre cas.

Il n'y a plus aucune raison de modifier manuellement les IP statiquement sur les clients, car Pi-Hole d'activer et de personnaliser le filtrage en fonction des clients. Donc vous pouvez très bien dire à tel périphérique de ne pas faire de filtrage de publicité, ou d'ajuster ses listes de blocage.

Vous en dire plus est compliqué, j'ai cru comprendre que dans le cas de @cadkey il utilise Pi-Hole sur son NAS, aucune idée pour @anorec, et même ainsi il y a énormément de méthodes possibles pour héberger Pi-Hole sur son NAS (bridge, macvlan, host).
Il faut augmenter le niveau de verbose les gars 😄 

 

[anorec]

@.Shad. En ce qui me concerne, PiHole tourne toujours sur le NAS, en macvlan (ou presque car bien qu'il ait son @IP propre, je ne suis jamais parvenu à le faire dialoguer avec DNS serveur, donc certainement dû à un conflit de port). Je me suis procuré un Pi4 pour le dédier à cette tâche mais je n'ai pas encore pris le temps d'y passer (pour l'instant le Pi est plutôt dédié à faire du badblocks^^).

J'ai donc le DHCP sur le routeur, le DNS du routeur pointe vers l'@IP de piHole. Les clients sont configurés en IP/DNS automatiques depuis le routeur et donc dans ces conditions toutes les requêtes affichées dans le log piHole indiquent qu'elles proviennent du routeur. Je n'ai aucun moyen de filtrer par client.  

[.Shad.]

il y a 19 minutes, anorec a dit :

J'ai donc le DHCP sur le routeur, le DNS du routeur pointe vers l'@IP de piHole.

Attention, le serveur DHCP du routeur ou de la box doit envoyer comme serveur DNS à ses clients l'IP de Pi-Hole, mais le routeur (ou la box) ne devrait pas utiliser Pi-Hole comme serveur DNS.
Par défaut il utilisera les adresses IP de ton FAI, sur certaines box on peut les modifier en choisir d'autres (FdN par exemple : 80.67.169.12 et 80.67.169.40).
Si vous respectez ça, tous les clients apparaissent dans les graphiques de Pi-Hole, par contre vous aurez peut-être juste les IP et pas les noms d'hôte de chaque client.

C'est normal car Pi-hole n'a pas accès à cette information, par chance (enfin si on peut dire ça comme ça, c'est juste bien pensé 🙂) Pi-Hole peut interroger le serveur DHCP à ce sujet.
Pour cela il faut aller dans Settings (se logger) -> DNS -> tout en bas de la page, conditional forwarding :

Première case, c'est l'adressage physique de mon réseau local, je suis sur le réseau 192.168.100.0, et je vais de 192.168.100.1 à 192.168.100.255, donc c'est 192.168.100.0/24.
Si vous cherchez notation CIDR vous trouverez facilement des informations pour vous aider à identifier ce que vous devez y mettre.
Deuxième case c'est assez explicite, c'est l'IP de mon routeur dans mon cas, ça peut être votre box ou alors le serveur DHCP du NAS si vous l'utilisez.

La troisième case correspond nom de domaine local que votre serveur DHCP rajoute automatiquement à la fin du nom du périphérique.
Souvent .local ou .localdomain, donc la TV sera par exemple accessible à l'adresse tv.local.
A la dernière màj ce n'était pas encore facultatif comme semble l'indiquer l'entête, si vous ne savez pas ne mettez rien dans un premier temps.

Ensuite il faut laisser un peu de temps à Pi-Hole, mais logiquement les IP devraient se transformer en noms d'hôte.