Schöner ist es, alles was DST:53 TCP/UDP ist, auf den eigenen DNS zu Redirecten und nur dem eigenen DNS das Auflösen nach außen zu gestatten. Es wäre dann völlig wurscht welchen Server der Client gesetzt hat. @Sempervideo Bitte auch an Port 853 TCP/UDP , mDNS und DNS over HTTPs denken.
@Ihr Diener letztlich bräuchtest du ein Destination NAT, ich glaube die Fritte kann das nicht. Ich benutze fur solche spielereien ganz gerne PfSense. Mit nem anständigen IDS/IPS bzw. Proxy wird man auch DNS over HTTPs los. Dann kann man auch richtiges content filtering machen und wird google werbung incl youtube ads los. Die Eininzigen Fallstricke sind dann HSTS und QUIC. QUIC kann man blocken und HSTS kann man aus den Browsern rauspatchen. Ansonsten bekommst du Probleme bei der SSL Interception.
Jawohl, coole Antwort, hatte auch gerade die Gedanken dazu. DigitalisierungsBox Premium und Standard der Telekom können das auch, sowie diverse andere wie Cisco FW, Cisco Router, Sophos FW etc..... Somit sperrt man alles bis auf erlaubte Sachen. PIEHOLE -> WAN_SCHNITTSTELLE -> ALLOW -> DNS
@@katjaczajkov8694 Klassisches UTM eben. Gibts auch von Deutschen Herstellern wie z.B. Rohde & Schwarz. Wegen "Safe Harbor" dürfen viele andere Lösungen mit US Cloud nämlich quasi nicht mehr benutzt werden.
@@Leela_X Das Problem ist, dass der Raspberry nicht genügend Leistungen für Gigabit Routing hat. Mit DPI musst du da garnicht erst anfangen. Aber ein kleiner Linux Server mit Squid und Firewall würde gehen. HTTPS würde ich nicht versuchen zu umgehen. Dafür kann man ein Zertifikat generierten und auf allen Clients installieren.
Was noch in der Reihe mit pihole fehlt ist zb das ganze mit wireguard zu kombinieren. Unbound und pihole zusammen ist ja schon sinnvoll, jetzt noch wireguard dazu.
Die Anleitung hier ist in meinen Augen perfekt. Wer Copy&Paste drauf hat, der sollte das hinbekommen 🥳 github.com/notasausage/pi-hole-unbound-wireguard
Geiler Tipp. Zur Ergänzung, laut Wikipedia Eintrag über DNS kann auch der TCP Port 53 genutzt werden, außerdem 853 UDP+TCP mit TLS/DTLS. Sind alles offizielle DNS Ports.Könnte man also auch sperren.
Frag doch das Robert Koch Institut, die werden dir einiges über über Viren erzählen um die Angst zu machen. Sei lieber froh wenn du momentan nichts von Viren hörst
In der Theorie erst einmal schön. Was würde passieren, wenn die Anwendung oder die Schadsoftware nur auf IP Basis kommuniziert oder die Namesauflösung über einen anderen Port oder durch ein anderes Protokoll getunnelt wird?
Wenn sich eine böse App nicht an den vorgegebenen Standard-DNS-Server hält, wer sagt dann, dass sie sich an den Standard-Port 53 hält? Den könnte man doch genauso ändern, oder? Und wie verhält es sich mit DNS oder HTTPS bzw. bei DualStack mit IPv6? Über diese beiden Wege können doch sicher weiterhin gemütlich DNS-Anfragen gestellt und damit das Schutzkonzept ausgehebelt werden...
Oder direkt die Anfrage an die Fritzbox schicken, die stellt ja auch einen DNS Server im Heimnetz bereit, den man soweit ich weiß nicht abschalten kann. Ansonsten wird auch manchmal eine Liste mit IPs (oder Ranges) eingebaut, Server IPs ändern sich ja nicht so oft, hat den Vorteil das es weiterhin funktioniert wenn die Domains von der Registry wegen bösartiger Nutzung gesperrt wurden. Denkbar wäre weiterhin irgendein ein eigenes Protokoll zur Namensauflösung zu nutzen, kann auch plain TCP sein. Also es gibt unzählige Möglichkeiten das zu umgehen, Schutzkonzept würde ich es nicht unbedingt nennen, hier wird halt genau ein Weg blockiert.
Schädliche Apps werden höchst wahrscheinlich sogar direkt IPs aufrufen und benötigen DNS überhaupt nicht. IPv6 verhält sich genauso wie IPv4, auch hier wird Port 53 genutzt. Du musst nur auch die IPv6 Adresse deines DNS servers (/pihole) entweder über Router Advertisement oder DHCPv6 rausgeben. DoH wird die Sperre tatsächlich komplett umgehen, da die DNS anfragen wie gewöhnlicher HTTPS Verkehr aussehen. Du könntest dafür die IP Adressen von bekannten DoH servern sperren und so den Austausch mit diesen Servern komplett verbieten.
Danke für eure Hinweise. Dann darf man sich also nichts vormachen: Wer sich am lokalen DNS-Server wie dem Pi-Hole vorbei drängeln will, der schafft das auch.
Ging mir vor Kurzem auch so... Mein PiHole hat mal geblockt, mal nicht... Nach einer Stunde (sinnloser) Fehlersuche habe ich es einfach neu aufgesetzt... Gleich mit unbound und Wireguard, endlich auch unterwegs keine Werbung mehr 🥳
Ich hab das gemacht weil bei mir immer mehr Werbung durchs PiHole gekommen ist. Jetzt funktioniert aber E-Mails in den Gesendet Ordner meiner IMAP E-Mail Adresse nicht mehr abzulegen. (via Thunderbird)
Kann man den Pi Hole auch über eine VPN Verbindung nutzen und wenn ja, wie geht das? Habe Pi Hole in meinem Netzwerk eingerichtet und möchte diesen von außerhalb über einen VPN mitbenutzen. Leider funktioniert das bisher noch nicht, da ich Werbung bekomme. Hat irgendwer eine Idee?
Das funktioniert dann auch mit aktuellen Routern? Der im Video verwendete ist ja bereits veraltet. Die Fritzbox 6591 Cable ist da die aktuelle. Lieber Sprecher, einfach mal mit Vodafone Kabel (oder wie Vodafone in deinem Bundesland auch heißt) reden. Je nach Kundenberater bekommt ihr einen Servicetausch der Fritzbox, vorausgesetzt es ist kein kundeneigenes Gerät. :) Und wenn der Kundenberater richtig gut ist, erlässt er euch auch die Lieferpauschale von 9,99 €. :)
Was ist richtig oder falsch? Es ist immer noch eine Fritzbox die für jedermann gemacht worden ist und nicht für jemanden der Filtern in betracht zieht. Wenn es so wäre könnte man auch Filterlisten verwenden oder tiefgründiger in das System eingreifen. Wenn du wirklich dein eigener Herr sein möchtest dann kommst du um alternative Router/Firewall Software nicht drum rum. Wenn du wirklich etwas richtig möchtest dann musst du leider Grips und Kohle in die Hand nehmen denn soetwas gibt es meist nicht von der Stange. Ein Raspberry ist auch nur ein Buttermesser beim Steak essen
@@graschbaten Klar, das funktioniert natürlich. Was aber keine Entschuldigung für so einen Schrott wie die Connect Box ist. Vielleicht liegts ja auch nur an der UM-Firmware, die auf dem Ding läuft, oder sollte ich sagen: schleicht? Beim Aufrufen des Web-GUI lässt sich das Teil jedenfalls vieeeeel Zeit.
Hai eigentlich dachte ich immer ich bin realtiv IT-Affine- Habe heute meinen ersten Pi bekommen und taste mich mit den ganzen Einrichtungen herran. Da ich noch bei meinen Eltern wohne möchte ich das Ganze erstmal auf meine Geräte beschränken bis ich die Materie behersche. Nun habe ich folgendes Problem- ich habe Pihole eingerichtet und es scheint auch zu funktionieren- 6Mio Domains in der Blocklist und 4% Querry Blocked (benutze Umatrix und noch mehr Stuff deshalb fällts glaube ich so gering aus). Den Zugriff von meinen Pc und Handy auf Pihole erreiche ich auch nicht über die Einstellungen in der Fritzbox sondern über die Schnittstellenconfiguration meiner Geräte. Auf jeden Fall habe ich jetzt in unserer Fritzbox ein Beschränktes Profil eingerichtet und es meinem PC und Handy zugewiesen. Jedoch habe ich jetzt einfach mal bei den Wlan Settings in meinem Handy einfach mal Cloudflare als DNS gesetzt (1.1.1.3) und trotzdem funkioniert alles obwohl es ja durch dem beschränkten Zugangsprofil in der Fritzbox nicht möglich sein sollte. Kann mir wer sagen was ich falsch gemacht /übersehen habe? Also im Prinzip habe ich alles wie im Video gemacht nur halt nicht das Standartprofil verwendet sondern ein individuelles Profil erstellt das Protokoll gesperrt und auf einzelne Clienten angewendet. Eine ganz andere Sache die ich auch nocht nicht ganz verstehe ist das Groupmanagement bzw. das Subsetting "Client". Zuerst hatte ich nähmlich die ganze Zeit 0% Querrys blocked, weil ich die ganzen AdListen nicht als "Default" group hatte- gibt es eine Möglichkeit standardmäßig andere/mehrere Gruppen als die "Default" Gruppe auf alle Clienten die das Pihole benutzen anzuwenden ohne jedem Clienten manuell die Gruppen zuzuweisen? Liebe Grüße und vielen Dank schonmal im Vorraus für die Hilfe :D
hallo ich bin neuling. Habe das Pi hole zum laufen bekommen und wollte wissen warum in der fritzbox die DHCP-Server wieder aktiviert sind. Es wurde gesagt in einem älteren Video DHCP Fritzbox aus und im Pihole an????
Du meinst jetzt hier im Video? Das liegt wahrscheinlich daran das er einfach eine andere, nicht konfigurierte Fritzbox, benutzt hat. Aber richtig ist auf jeden Fall das man nur einen DHCP-Dienst im Netzwerk laufen lassen sollte, allso entweder den von der Fritzbox oder vom PiHole.
Den Port 53 sollte auch für TCP gesperrt werden, da auch DNS-Server diesen Port verwenden (können). Abgesehen davon würde ich eventuell auch noch DNS-over-TLS sperren (Port 853).
Nein, DoH läuft über Port 443 und ist damit nicht von normalen HTTPS Verkehr unterscheidbar. Du müsstest direkt die IP Adressen bekannter DoH Server sperren.
Dann ist es schon schwerwiegend, dies ist eine Datei die dem admin / root gehört , die kann im normalfall auch kein 2. Nutzer bearbeiten. Dann hat die schadware schon Admin rechte , kurz gesagt
@@anastassogoldschmied ich meinte eigentlich eine eigene hosts Datei, nicht die globale vom Betriebssystem. In einer Art Mini (Mikro) Sandbox. So ähnlich Kreativ wie manche Trojaner daher kommen.
@@daniel_bliem Auf dem Cloud-Key, über den man ja sein gesamtes Netzwerk konfiguriert. Zu meinem Setup: 1x USG an der dann der Drytek Vigor 165 angeschlossen, damit die USG die Einwahl ins Internet macht. 2x US 8 Port Switch 1x US 24 Port 1x Access Point
@@t0bit0bsen Dann musst du die Regel am Controller erstellen . Am besten schaust du dir mal Idomix an bezüglich den regeln. idomix.de/unifi-firewall-einstellen-vlan-isolation-security-gateway
Nein? Wenn das so wäre würdest du im WebUI von pihole nur die IP Adresse von der Fritzbox sehen und das ist nicht der Fall (zumindest bei mir). Wenn du nur die Adresse des Routers siehst dann hast du den DNS server wohl in den WAN Einstellungen gesetzt anstatt in den DHCP Einstellungen.
![TEEDEE TADA - DIAMOND NARAKORN X LEGO LYKN [Special Dance Performance]](http://i.ytimg.com/vi/QgtZedFeumA/mqdefault.jpg)
Schöner ist es, alles was DST:53 TCP/UDP ist, auf den eigenen DNS zu Redirecten und nur dem eigenen DNS das Auflösen nach außen zu gestatten. Es wäre dann völlig wurscht welchen Server der Client gesetzt hat. @Sempervideo Bitte auch an Port 853 TCP/UDP , mDNS und DNS over HTTPs denken.
@Ihr Diener letztlich bräuchtest du ein Destination NAT, ich glaube die Fritte kann das nicht. Ich benutze fur solche spielereien ganz gerne PfSense. Mit nem anständigen IDS/IPS bzw. Proxy wird man auch DNS over HTTPs los. Dann kann man auch richtiges content filtering machen und wird google werbung incl youtube ads los. Die Eininzigen Fallstricke sind dann HSTS und QUIC. QUIC kann man blocken und HSTS kann man aus den Browsern rauspatchen. Ansonsten bekommst du Probleme bei der SSL Interception.
Ein SemperVideo dazu wäre gut!
Jawohl, coole Antwort, hatte auch gerade die Gedanken dazu. DigitalisierungsBox Premium und Standard der Telekom können das auch, sowie diverse andere wie Cisco FW, Cisco Router, Sophos FW etc.....
Somit sperrt man alles bis auf erlaubte Sachen. PIEHOLE -> WAN_SCHNITTSTELLE -> ALLOW -> DNS
@@katjaczajkov8694 Klassisches UTM eben. Gibts auch von Deutschen Herstellern wie z.B. Rohde & Schwarz. Wegen "Safe Harbor" dürfen viele andere Lösungen mit US Cloud nämlich quasi nicht mehr benutzt werden.
@@Leela_X Das Problem ist, dass der Raspberry nicht genügend Leistungen für Gigabit Routing hat. Mit DPI musst du da garnicht erst anfangen.
Aber ein kleiner Linux Server mit Squid und Firewall würde gehen.
HTTPS würde ich nicht versuchen zu umgehen. Dafür kann man ein Zertifikat generierten und auf allen Clients installieren.
DNS-over-HTTPS... Aber hat er ja angedeutet, dass es keine hundertprozentige Lösung ist
DNS-over-TLS trifft es leider auch nicht...
Was noch in der Reihe mit pihole fehlt ist zb das ganze mit wireguard zu kombinieren. Unbound und pihole zusammen ist ja schon sinnvoll, jetzt noch wireguard dazu.
Die Anleitung hier ist in meinen Augen perfekt.
Wer Copy&Paste drauf hat, der sollte das hinbekommen 🥳
github.com/notasausage/pi-hole-unbound-wireguard
Wieder was gelernt, Danke dafür!
Geiler Tipp. Zur Ergänzung, laut Wikipedia Eintrag über DNS kann auch der TCP Port 53 genutzt werden, außerdem 853 UDP+TCP mit TLS/DTLS. Sind alles offizielle DNS Ports.Könnte man also auch sperren.
Danke fürs direkt loslegen ohne das Intro. Finde ich gut.
nein ohne das Intro fehlt was =(
Ja ich auch!
Danke für die Videos die sind genial ich lerne viel dazu macht bitte weiter so viele Grüße aus Barcelona Spanien
RIP das Legendäre Intro =((((((((
Was ist eigentlich mit den ganzen viren und trojanern passiert? Seit 2 Jahren kam da garnichts mehr
Frag doch das Robert Koch Institut, die werden dir einiges über über Viren erzählen um die Angst zu machen. Sei lieber froh wenn du momentan nichts von Viren hörst
giebt es bekannte vielbenutzte apps die nur ihren eigennen DNS Server nutzen?
Iech weis es nniecht !!
Google Play Store funktioniert bei mir nicht, kann es jemand bestätigen?
Wenn man bei der Fritzbox bei den Profilen eine Blacklist einsetzt werden direkte IP Anfragen immer blockiert und somit auch DNS.
In der Theorie erst einmal schön. Was würde passieren, wenn die Anwendung oder die Schadsoftware nur auf IP Basis kommuniziert oder die Namesauflösung über einen anderen Port oder durch ein anderes Protokoll getunnelt wird?
okay, kein Intro?
Hacked by Ununpentium das internet besteht nur noch aus Anwälten und Denunzianten
Ich kenne Sempervideo seit Zich Jahren aber das er Twitter hat erst seit heute....
Ohne Intro is eh besser.
Wenn sich eine böse App nicht an den vorgegebenen Standard-DNS-Server hält, wer sagt dann, dass sie sich an den Standard-Port 53 hält? Den könnte man doch genauso ändern, oder?
Und wie verhält es sich mit DNS oder HTTPS bzw. bei DualStack mit IPv6? Über diese beiden Wege können doch sicher weiterhin gemütlich DNS-Anfragen gestellt und damit das Schutzkonzept ausgehebelt werden...
Oder direkt die Anfrage an die Fritzbox schicken, die stellt ja auch einen DNS Server im Heimnetz bereit, den man soweit ich weiß nicht abschalten kann.
Ansonsten wird auch manchmal eine Liste mit IPs (oder Ranges) eingebaut, Server IPs ändern sich ja nicht so oft, hat den Vorteil das es weiterhin funktioniert wenn die Domains von der Registry wegen bösartiger Nutzung gesperrt wurden.
Denkbar wäre weiterhin irgendein ein eigenes Protokoll zur Namensauflösung zu nutzen, kann auch plain TCP sein.
Also es gibt unzählige Möglichkeiten das zu umgehen, Schutzkonzept würde ich es nicht unbedingt nennen, hier wird halt genau ein Weg blockiert.
Schädliche Apps werden höchst wahrscheinlich sogar direkt IPs aufrufen und benötigen DNS überhaupt nicht.
IPv6 verhält sich genauso wie IPv4, auch hier wird Port 53 genutzt. Du musst nur auch die IPv6 Adresse deines DNS servers (/pihole) entweder über Router Advertisement oder DHCPv6 rausgeben.
DoH wird die Sperre tatsächlich komplett umgehen, da die DNS anfragen wie gewöhnlicher HTTPS Verkehr aussehen. Du könntest dafür die IP Adressen von bekannten DoH servern sperren und so den Austausch mit diesen Servern komplett verbieten.
Danke für eure Hinweise. Dann darf man sich also nichts vormachen: Wer sich am lokalen DNS-Server wie dem Pi-Hole vorbei drängeln will, der schafft das auch.
Muss ich gleich mal testen. Muss eh mein pihole neu aufsetzen, irgendwie gehen die Filter nicht mehr.
Ging mir vor Kurzem auch so... Mein PiHole hat mal geblockt, mal nicht... Nach einer Stunde (sinnloser) Fehlersuche habe ich es einfach neu aufgesetzt... Gleich mit unbound und Wireguard, endlich auch unterwegs keine Werbung mehr 🥳
Tolles Video! Wäre es möglich eine Videoanleitung zu einem PXE-Server hochzuladen? Wäre sehr nützlich...
gillt das auch für W-Lan Benutzer?
Gut zu wissen
Ich hab das gemacht weil bei mir immer mehr Werbung durchs PiHole gekommen ist. Jetzt funktioniert aber E-Mails in den Gesendet Ordner meiner IMAP E-Mail Adresse nicht mehr abzulegen. (via Thunderbird)
Kann man den Pi Hole auch über eine VPN Verbindung nutzen und wenn ja, wie geht das? Habe Pi Hole in meinem Netzwerk eingerichtet und möchte diesen von außerhalb über einen VPN mitbenutzen. Leider funktioniert das bisher noch nicht, da ich Werbung bekomme. Hat irgendwer eine Idee?
Aber wie sieht es mit IPV6 Anfragen aus? Ist das auch Port 53?
UDP ist im IP-layer gekapselt. Ports sind daher nicht abhängig von der IP-Version. Es bleibt also Port 53.
Das funktioniert dann auch mit aktuellen Routern? Der im Video verwendete ist ja bereits veraltet. Die Fritzbox 6591 Cable ist da die aktuelle. Lieber Sprecher, einfach mal mit Vodafone Kabel (oder wie Vodafone in deinem Bundesland auch heißt) reden. Je nach Kundenberater bekommt ihr einen Servicetausch der Fritzbox, vorausgesetzt es ist kein kundeneigenes Gerät. :) Und wenn der Kundenberater richtig gut ist, erlässt er euch auch die Lieferpauschale von 9,99 €. :)
Das Betriebssystem FritzOS sollte bei allen Fritzbox das gleiche sein, sofern es auf dem neusten Stand ist.
Was ist denn, wenn der Angreifer seinen eigenen DNS auf nem anderen Port betreibt?
Oder hat man dann größere Probleme, wenn der das kann?
@@Di0nysus_ Ach, da hab ich den Wald vor lauter Bäumen nicht gesehen!
Bei der Connect Box gibt's kein wirkliches filtern also nicht möglich oder irre ich mich?
Leider hast Du recht. Ich hab auch so ein Scheiss Teil. Noch. Bei mir gibt es bald Glasfaser! Freu! 👌
Dann nimm das Pihole als DHCP Server dann sollte das funktionieren was du möchtest
@@graschbaten da kann man aber keine richtigen Filter Regeln setzen
Was ist richtig oder falsch? Es ist immer noch eine Fritzbox die für jedermann gemacht worden ist und nicht für jemanden der Filtern in betracht zieht. Wenn es so wäre könnte man auch Filterlisten verwenden oder tiefgründiger in das System eingreifen. Wenn du wirklich dein eigener Herr sein möchtest dann kommst du um alternative Router/Firewall Software nicht drum rum. Wenn du wirklich etwas richtig möchtest dann musst du leider Grips und Kohle in die Hand nehmen denn soetwas gibt es meist nicht von der Stange. Ein Raspberry ist auch nur ein Buttermesser beim Steak essen
@@graschbaten Klar, das funktioniert natürlich. Was aber keine Entschuldigung für so einen Schrott wie die Connect Box ist.
Vielleicht liegts ja auch nur an der UM-Firmware, die auf dem Ding läuft, oder sollte ich sagen: schleicht? Beim Aufrufen des Web-GUI lässt sich das Teil jedenfalls vieeeeel Zeit.
Hai eigentlich dachte ich immer ich bin realtiv IT-Affine-
Habe heute meinen ersten Pi bekommen und taste mich mit den ganzen Einrichtungen herran. Da ich noch bei meinen Eltern wohne möchte ich das Ganze erstmal auf meine Geräte beschränken bis ich die Materie behersche. Nun habe ich folgendes Problem- ich habe Pihole eingerichtet und es scheint auch zu funktionieren- 6Mio Domains in der Blocklist und 4% Querry Blocked (benutze Umatrix und noch mehr Stuff deshalb fällts glaube ich so gering aus). Den Zugriff von meinen Pc und Handy auf Pihole erreiche ich auch nicht über die Einstellungen in der Fritzbox sondern über die Schnittstellenconfiguration meiner Geräte.
Auf jeden Fall habe ich jetzt in unserer Fritzbox ein Beschränktes Profil eingerichtet und es meinem PC und Handy zugewiesen. Jedoch habe ich jetzt einfach mal bei den Wlan Settings in meinem Handy einfach mal Cloudflare als DNS gesetzt (1.1.1.3) und trotzdem funkioniert alles obwohl es ja durch dem beschränkten Zugangsprofil in der Fritzbox nicht möglich sein sollte. Kann mir wer sagen was ich falsch gemacht /übersehen habe?
Also im Prinzip habe ich alles wie im Video gemacht nur halt nicht das Standartprofil verwendet sondern ein individuelles Profil erstellt das Protokoll gesperrt und auf einzelne Clienten angewendet.
Eine ganz andere Sache die ich auch nocht nicht ganz verstehe ist das Groupmanagement bzw. das Subsetting "Client". Zuerst hatte ich nähmlich die ganze Zeit 0% Querrys blocked, weil ich die ganzen AdListen nicht als "Default" group hatte- gibt es eine Möglichkeit standardmäßig andere/mehrere Gruppen als die "Default" Gruppe auf alle Clienten die das Pihole benutzen anzuwenden ohne jedem Clienten manuell die Gruppen zuzuweisen?
Liebe Grüße und vielen Dank schonmal im Vorraus für die Hilfe :D
hallo ich bin neuling. Habe das Pi hole zum laufen bekommen und wollte wissen warum in der fritzbox die DHCP-Server wieder aktiviert sind. Es wurde gesagt in einem älteren Video DHCP Fritzbox aus und im Pihole an????
Du meinst jetzt hier im Video? Das liegt wahrscheinlich daran das er einfach eine andere, nicht konfigurierte Fritzbox, benutzt hat.
Aber richtig ist auf jeden Fall das man nur einen DHCP-Dienst im Netzwerk laufen lassen sollte, allso entweder den von der Fritzbox oder vom PiHole.
Den Port 53 sollte auch für TCP gesperrt werden, da auch DNS-Server diesen Port verwenden (können). Abgesehen davon würde ich eventuell auch noch DNS-over-TLS sperren (Port 853).
mh kann man machen. Kommt mir aber mehr wie eine gefühlte Sicherheit vor.
wie schauts mit DoH aus das kann mann so nicht blocken .. oder ?
Nein, DoH läuft über Port 443 und ist damit nicht von normalen HTTPS Verkehr unterscheidbar. Du müsstest direkt die IP Adressen bekannter DoH Server sperren.
Und wenn die schädliche App eine eigene /etc/hosts verwendet?
Dann ist es schon schwerwiegend, dies ist eine Datei die dem admin / root gehört , die kann im normalfall auch kein 2. Nutzer bearbeiten. Dann hat die schadware schon Admin rechte , kurz gesagt
@@anastassogoldschmied ich meinte eigentlich eine eigene hosts Datei, nicht die globale vom Betriebssystem. In einer Art Mini (Mikro) Sandbox. So ähnlich Kreativ wie manche Trojaner daher kommen.
Wie ist das wenn man VPN benutzt?
Dann haste erstmal schön n' DNS Leak weil man deine richtige IP sieht durch den DNS Server den du verwendest. Sehr unproduktiv.
D-o-T oder D-o-H filtert das aber nicht.
Bitte lasst den lokalen DNS Server in Ruhe. Tragt die IP vom Pihole bei Internet - Zugangsdaten - DNS ein.
Jemand eine Idee wie man das auf Ubiquity umsetzen kann?
Barcuda-Gamer was von Ubiquiti ?
@@daniel_bliem Auf dem Cloud-Key, über den man ja sein gesamtes Netzwerk konfiguriert. Zu meinem Setup:
1x USG an der dann der Drytek Vigor 165 angeschlossen, damit die USG die Einwahl ins Internet macht.
2x US 8 Port Switch
1x US 24 Port
1x Access Point
@@t0bit0bsen Dann musst du die Regel am Controller erstellen .
Am besten schaust du dir mal Idomix an bezüglich den regeln.
idomix.de/unifi-firewall-einstellen-vlan-isolation-security-gateway
UDP 53 reicht wohl nicht.
Noch kürzer geht deine Aussage nicht? Was geht denn nicht? Füge einen Port deiner Wahl hinzu.
DNS over HTTPS - Lässt sich mit dieser Regel nicht verhindern
Nur falls wer auf die Idee kommt zu schreiben "Eh, mit meinem Feuerfuchs komm ich noch immer zum DNS Server!1DRÖLF!"
Nicht ganz richtig: Der DHCP Server der Fritzbox sendet als DNS Server immer die Fritzbox aber leitet die DNS Anfragen dann an das PiHole weiter
Nein? Wenn das so wäre würdest du im WebUI von pihole nur die IP Adresse von der Fritzbox sehen und das ist nicht der Fall (zumindest bei mir). Wenn du nur die Adresse des Routers siehst dann hast du den DNS server wohl in den WAN Einstellungen gesetzt anstatt in den DHCP Einstellungen.
Kannst du mal ein Video machen wo du einen TH-cam stream bot programmierst welcher Zuschauer bottet?
Leider kann ich bei der Firmware 7.20 der Fritzbox die Einstellungen nicht finden. Nicht alles meine Ich
hab die 7.20 auch drauf und hab alles, mach die erweiterte ansicht an
@@TheHipHopMom Joop hattest Recht, Hatte sich bei einem Update warscheinlich umgestellt.
Anderen Port für den DNS nutzen, YOLO
Hängt dann allerdings vom DNS-Server ab, ob dieser einen anderen Port unterstützt/nutzt.
Whitelist Firewall konfigurieren, YOLO