Contents
Pi-hole Grundkonfiguration
Nachdem unser Container und der Pi-hole Server nun läuft, können wir abschliessend Pi-hole konfigurieren.
DNS Forwarder setzen
Ein DNS-Forwarder oder Uplink ist ein übergeordneter Server, falls der eigenen Server keinen Namensauflösung durchführen kann. Da das in den meisten Fällen der Fall sein dürfte, können wir hier einen DNS Server aus der Liste auswählen. Jeder Anbieter bietet in der Regel wenigstens zwei IP Adressen pro IPv4 oder IPv6 an, daher gibt es zwei Haken. In der Auswahl ist man frei, mein Favorit ist OpenDNS.
Wenn man will, und einen DNSSEC fähigen Upwards DNS ausgewählt hat, kann man die Überprüfung der DNS Anfragen mittels “Use DNSSEC” aktivieren.
Verwendet man wie hier im Beispiel, Pi-hole als reinen Filter, also ohne DHCP, dann sollte man für das lokale Netzwerk die DNS Anfragen an den eigenen DHCP Server weiterleiten.
Clients konfigurieren
Zuletzt müssen nur noch alle Clients im Netzwerk den neuen DNS-Server verwenden. Dazu verwendet man idealerweise die DNS Vorgaben über den eigenen DHCP Server.
Man kann auch Pi-hole als DHCP Server verwenden, aber in diesem Beispiel soll Pi-hole lediglich dazu dienen DNS Anfragen zu filtern — DHCP wird von einem zentralen Router bereitgestellt, etwa einer Fritz!Box oder hier von einem Ubiquiti Security Gateway oder Unifi Dream Machine.
Bei Unifi Netzwerken findet sich die Einstellung unter Netzwerk-> <Heimnetz bspw LAN> -> Advanced -> DHCP Nameserver
Um unseren neuen Server zu nutzen, tragen wir im LAN Netzwerk unseres Heimnetz die DNS Server manuell ein. Hier sollte man unbedingt einen Fallback Server wie etwa 9.9.9.9 (Quad9), 8.8.8.8 (Google) oder einen anderen angeben, falls unser eigener Server einmal ausfällt. So können die Clients auch bei ausgefallenem Pi-hole dennoch (langsamer) im Netz surfen.
Fragen und Antwort
Meine Blacklist wird nicht geladen? Nichts funktioniert!
Es kann sein, dass man aus versehen einfach den Filter ausgeschalten hat. Der Status des Filterung muss natürlich an sein. Wenn der Filter so aussieht, ist PiHole aktiv.
Der Text für die Aktivierung muss also auf “Disable” lauten, dann ist der Filter aktiv.
Welche Blacklists soll ich jetzt hinzufügen?
Prinzipiell darf man ruhig erstmal auf die mitgelieferten Listen vertrauen. Man muss hier nicht viel ändern. Vor allem wenn man noch als DNS Forwarding einen weiteren Filter wie bspw die von Cloud9 oder OpenDNS hinzugefügt hat.
Will man weitere Filter hinzufügen, findet man eine Auswahl von Filterlisten hier:
- Empfehlungslisten von Firebog (ca. 250k Einträge mit allen empfohlenen Listen)
- Wem das alles noch nicht reicht: auf Filterlists.com findet man eine Datenbank über verschiedene Listen. Hier kann man auch feststellen, welche Produkte bspw welche Listen verwenden.
Aber Achtung: je mehr Listen man einbindet, desto mehr False-Positives kann man erhalten. Also bitte nicht wahllos Listen einbinden.
Mit welcher Blacklist schütze ich mich am besten gegen Phishing, Malware und Attacken?
Idealerweise überlässt man das den Spezialisten. OpenDNS oder Cloud9 pflegen große Netzwerke bei denen Attacken global festgestellt werden können. Mein Favorit dabei ist OpenDNS, dieser lässt sich auch mit einem separaten Account noch weiter konfigurieren — und das kostenlos.
Also für diesen Fall den Upstream-DNS Server sorgfältig auswählen.
Ich habe einen Domäne hinzugefügt, die nicht gefiltert wird!
- PiHole neu starten, das löscht den Cache
- Überprüfen ob das Filtering überhaupt aktiviert ist (s.o.)
Wie setze ich die Statistiken zurück?
Die Statistiken werden in einer kleinen Datenbank gespeichert. Löscht man diese, wird sie bei Neustart neu angelegt
cd /etc/pihole
sudo service pihole-FTL stop
sudo mv pihole-FTL.db pihole-FTL.db.old
sudo service pihole-FTL start
