Pihole und Unbound auf einen Raspberry Pi Zero installieren
Natürlich funktioniert die Installation wie hier beschrieben auch auf andere Geräten unter Debian oder Ubuntu. Ich wollte lediglich zeigen dass man eine bessere Sicherheit im Netz auch für wenige Euros bekommen kann. Meinen Raspberry Zero habe ich mit einem USB LAN Adapter ausgerüstet den man für unter 10 Euro bekommt und WLAN ausgeschaltet damit es keine Verbindungsprobleme gibt.
Link-Liste der Hardware
Hier eine kleine Liste woher ich die Hardware samt Zubehör gekauft habe. Ich verdiene daran nichts (keine Referel Links) und es ist nur eine unverbindliche Empfehlung.
Raspberry Pi Zero: https://www.welectron.com/Raspberry-Pi-Zero_1 .Hier kann auch das Netzteil, SD Karte und weiters Zubehör nach Wunsch mitbestellt werden.
Heatsink Gehäuse: https://www.amazon.de/dp/B0B4JR8V8M damit der Pi einen kühlen kopf behält.
Micro USB Eternet Adapter: https://www.amazon.de/dp/B0BYJ6PZV2
OS installieren
Ich benutze eine CLI Version des OS, also kein GUI!
Für meine Raspberries nehme ich ausnahmslos DietPi als OS, da diese Distribution sehr schlank ist, sehr aktuell ist und stabil läuft.
Link: https://dietpi.com
Wie gewohnt, das richtige OS für Raspberry 1/Zero downloaden, flashen und installieren.
Danach als root einloggen, das erleichter sämtliche Installationen.
Dem Pi eine statische IP in /etc/network/interfaces oder mit dietpi-config vergeben.
Diverse Tools installieren
Um später testen zu können ob alles richtig läuft und zur Erleichterung bei der kommenden Installation empfehle ich das installieren einiger Tools mit:
apt install apt-transport-https net-tools dnsutils traceroute -y
Unbound installieren
Bei mir hat sich die Installation von Unbound etwas kompliziert dargestellt. Deswegen gehe ich auf die Komplikationen ein die mir begegnet sind und wie ich sie gelöst habe. Die Installation durchführen mit:
apt install unbound -y
Normal sollte jetzt im Verzeichnis /var/lib/unbound/ eine Datei namens root.key sein ohne die Unbound nicht startet. Diese fehlte bei mir.
Lösung:
apt install unbound-anchor
unbound-anchor -a /var/lib/unbound/root.key
chown unbound /var/lib/unbound/root.key
chown :unbound /var/lib/unbound/root.key
Nun müsst ihr doch die Datei /var/lib/unbound/root.hints erzeugen. Dafür habe ich ein Script erstellt.
nano /etc/unbound/update_root-hints.sh
Danach Script einfügen:
#!/bin/bash
if wget -O root.hints https://www.internic.net/domain/named.root ; then
rm -f /var/lib/unbound/root.hints
mv root.hints /var/lib/unbound/
service unbound restart
fi
Mit Strg+o speichern und mit Strg+x Nano verlassen. Jetzt die Datei ausführbar machen und ausführen:
chmod +x /etc/unbound/update_root-hints.sh
/etc/unbound/update_root-hints.sh
Man kann auch einen Crontab Eintrag erstellen der root.hints regelmäßig updatet. Diese updatet dich zwar selten, aber es ist gut wenn sie aktuell ist. Dafür crontab -e eingeben und ganz unten folgendes einfügen:
30 1 15 */1 * /etc/unbound/update_root-hints.sh &
Und wieder mit Strg+o speichern und mit Strg+x den Editor verlassen.
Alternativ kann man root.hints auch folgenermaßen installieren:
apt install dns-root-data -y
Man muss nur aufpassen, dass man in den Unbound Configs den richtigen Pfade root.hints angibt. Falls jemand auf die Idee kommt die im Ordner ebenfalls vorhandene root.key in der Unbound Config anzugeben so wird das nicht laufen, bei mir jedenfalls nicht. Unbound startet dann alle 3 Sekunden neu und ist nicht ansprechbar, auch wenn keine Fehler angezeigt werden.
Nun müssen wir die Unbound Konfigurationsdateien anpassen so dass wir Upstream Server eintragen und die Abfragen über TLS (SSL) durchführen. Das lässt Unbound die ganze Arbeit machen und Pihole ersparen wir später eine ganze Menge Anfragen ins Internet die unseren Log füllen. Dafür ändern wir folgende Dateien:
/etc/unbound/unbound.conf.d/pi-hole.conf
forward-zone:
# Forward all queries (except those in cache and local zone) to
# upstream recursive servers
# Queries to this forward zone use TLS
name: "."
forward-tls-upstream: yes
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 149.112.112.112@853#dns.quad9.net
Natürlich können wir noch mehr DNS Server nach dem selben Muster eintragen, einfach mal nach DNS Servern suchen die keine Logs führen und die Privatsphäre beachten.
/etc/unbound/unbound.conf.d/secutity.conf
Hier prüfen ob folgender Eintrag vorhanden und auskommentiert ist, sonst einfügen:
tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"
Eine Datei anlegen namens /etc/unbound/unbound.conf.d/pi-hole.conf mit folgendem Inhalt der für eure Situation angepasst werden kann z.B. wenn ihr IPv6 nutzt:
server:
# If no logfile is specified, syslog is used
# logfile: "/var/log/unbound/unbound.log"
verbosity: 0
module-config: "validator iterator"
interface: 127.0.0.1
port: 5335
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
prefer-ip4: yes
prefer-ip6: no
# Filters out all AAAA
private-address: ::/0
# Use this only when you downloaded the list of primary root servers!
root-hints: "/var/lib/unbound/root.hints"
# TLS settings
tls-upstream: yes
# Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
# see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378
# for further details
use-caps-for-id: no
# Reduce EDNS reassembly buffer size.
# Suggested by the unbound man page to reduce fragmentation reassembly problems
edns-buffer-size: 1232
# Perform prefetching of close to expired message cache entries
# This only applies to domains that have been frequently queried
# performance optimizations (costs more traffic and/or CPU)
prefetch: yes
prefetch-key: yes
rrset-roundrobin: yes
# One thread should be sufficient, can be increased on beefy machines. In reality
# for most users running on small networks or on a single machine, it should be
# unnecessary to seek performance enhancement by increasing num-threads above 1.
num-threads: 1
# Ensure kernel buffer is large enough to not lose messages in traffic spikes
so-rcvbuf: 10m
# Significantly improve UDP performance on kernels that support it.
so-reuseport: yes
Wichtig ist dass der port: Eintrag nicht 53 ist da dieser Port später von Pihole benutzt werden muss. Wenn es weiter conf-Dateien gibt, die mit server: beginnen so prüfen ob es keine doppelten Einträge mit eurer pi-hole.conf gibt bzw. die andere conf-Datei in was anderes umbenennen z.B. mit der Endung .conf.old .
Jetzt mit unbound-checkconf
prüfen ob die Unbound Konfiguration passt und bei Fehlern diese korrigieren. Dafür ist die Unbound Dokumentation unter https://unbound.docs.nlnetlabs.nl/ sehr hilfreich.
Wenn keine Fehler mehr in der Konfiguration sind Unbound mit service unbound restart
neu starten und dann prüfen ob es läuft mit:
dig google.com @127.0.0.1 -p 5335
Die Antwort sollte sein:
; <<>> DiG 9.18.24-1-Raspbian <<>> google.com @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36776
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 216 IN A 142.250.186.78
;; Query time: 210 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1) (UDP)
;; WHEN: Sun Mar 17 09:59:53 CET 2024
;; MSG SIZE rcvd: 55
Nun noch prüfen ob die Anfragen über TLS funktionieren mit:
dig de. SOA +dnssec @127.0.0.1 -p 5335
Die Antwort soll so aussehen:
; <<>> DiG 9.18.24-1-Raspbian <<>> de. SOA +dnssec @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32821
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
;; QUESTION SECTION:
;de. IN SOA
;; ANSWER SECTION:
de. 43200 IN SOA f.nic.de. dns-operations.denic.de. 1710666416 7200 7200 3600000 7200
de. 43200 IN RRSIG SOA 8 1 86400 20240331090652 20240317073652 44298 de. C2luvfm7baBA0beeihwGuMDMnGxq/sOE/JZP3AzsDbvVrOp2Kkx6q+Px 3sHxZX4xZXUgwYTZKUq7qCK1ucOerSek66Vqa9BCKN0yLC22ZLfDIGBz mLCMNxNXro+NoiAV4KEzYO/eRCxqsNIktSKyiP9v5Wg3kkozBIwAhYmE RwI=
;; Query time: 460 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1) (UDP)
;; WHEN: Sun Mar 17 10:08:46 CET 2024
;; MSG SIZE rcvd: 256
Pihole installieren
Meine Methode:
Erstmal einen Ordner erstellen mit mkdir -p /opt/pihole-install
und in den Ordner wechseln mit cd /opt/pihole-install/
. Jetzt das Installationsscript downloaden und ausführen:
wget -O basic-install.sh https://install.pi-hole.net
chmod +x /opt/pihole-install/basic-install.sh
/opt/pihole-install/basic-install.sh
Den Installationsprozess durchgehen und die Installation abschliessen. Nun sollte Pihole laufen.
Falls eine Warnmeldung kommt dass das Betriebssystem nicht unterstützt wird einfach PIHOLE_SKIP_OS_CHECK=true pihole -r
in die Konsole eingeben und zusätzlich PIHOLE_SKIP_OS_CHECK=true
in die Datei /etc/environment einfügen damit die Warnmeldung dauerhaft unterbleibt.
Mit dem Kommando pihole -a -p
das Passwort für die Weboberfläche eures Piholes einstellen.
Auf die Weboberfläche eurer Pihole Installation kommt ihr mit http://IP.eures.Rasprerry.pi/admin/ . Manche Browser mögen http nicht und lassen euch die Weboberfläche nicht aufrufen. Am besten umgeht ihr das indem ihr den Port zum Aufrufen der Weboberfläche ändert. Dazu müsst ihr folgendes machen:
eine Datei mit nano /etc/lighttpd/conf-available/07-pihole.conf
und dem Inhalt server.port := 8888
erstellen und mit Strg+o speichern und mit Strg+x den Editor verlassen. Dann eine Link erstellen mit ln -s /etc/lighttpd/conf-available/07-pihole.conf /etc/lighttpd/conf-enabled
und Lighttpd neu starten mit service lighttpd restart
. Auf die Weboberfläche kommt ihr jetzt mit http://IP.eures.Rasprerry.pi:8888/admin/ und der Browser mach keinen Ärger mehr.
Ich würde jetzt die ganze Kiste mit reboot
neu starten und dann die Einstellungen in der Pihole Weboberfläche vornehmen.
Zunächst die DNS Einstellungen vornehmen damit Pihole nur unseren Unbound als Resolver verwendet. Dafür geht ihr auf den Menüpunkt Settings der Weboberfläche im Reiter DNS alle Häckchen im linken Teil mit dem Titel Upstream DNS Servers entfernen und im rechten Teil ein Häckchen setzen bei Custom 1 (IPv4) und den Inhalt ändern zu 127.0.0.1#5353
. Wenn ihr IPv6 verwendet könnt ihr ein Häckchen setzen bei Custom 1 (IPv6) und den Inhalt ändern zu ::1#5353
. 5335 ist der Port den ihr vorher in der Konfiguration von Unbound festgelegt habt.
Jetzt noch Häckchen setzen bei Never forward non-FQDN A and AAAA queries und Never forward reverse lookups for private IP ranges und das Häcken entfernen bei Use DNSSEC weil ja Undound die DNSSEC/TLS/SSL Anfragen übernimmt und wir im eigenen LAN so Frafic sparen können.
Wieter unten empfehle ich das Häckchen zu setzen bei Use Conditional Forwarding und als Beispiel eintragen bei Local network in CIDR notation 192.168.178.0/24
, bei IP address of your DHCP server (router) 192.168.178.1
und bei Local domain name (optional) fritz.box
. Alles natürlich den Gegebenheiten eures LAN anpassen.
Das Ganze speicher mit Klicken auf den Save Knopf ganz unten.
Ich gebe euch hier meine Adlist mit z.Z. über 16 Mio. Einträgen von gesperrten Domains. Dafür geht ihr auf den Menüpunkt Adlists der Weboberfläche und copy-pastet die unten angefügte Liste in das Feld Address: . Unter Hints: steht dann auch was ihr als nächstes zu tun habt.
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/notserious
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Streaming
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Phishing-Angriffe
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/spam.mails
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/easylist
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/crypto
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/gambling
https://raw.github.com/notracking/hosts-blocklists/master/hostnames.txt
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt
https://raw.githubusercontent.com/jerryn70/GoodbyeAds/master/Extension/GoodbyeAds-Xiaomi-Extension.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://v.firebog.net/hosts/Prigent-Ads.txt
https://v.firebog.net/hosts/AdguardDNS.txt
https://adaway.org/hosts.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts_without_controversies.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Spam/hosts
https://v.firebog.net/hosts/static/w3kbl.txt
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
https://v.firebog.net/hosts/Easylist.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
https://raw.githubusercontent.com/bigdargon/hostsVN/master/hosts
https://v.firebog.net/hosts/Easyprivacy.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.2o7Net/hosts
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
https://www.github.developerdan.com/hosts/lists/ads-and-tracking-extended.txt
https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt
https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareHosts.txt
https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
https://v.firebog.net/hosts/Prigent-Malware.txt
https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt
https://phishing.army/download/phishing_army_blocklist_extended.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Risk/hosts
https://urlhaus.abuse.ch/downloads/hostfile/
https://zerodot1.gitlab.io/CoinBlockerLists/hosts_browser
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock1
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock2
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock3
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock4
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Fake-Science
https://raw.githubusercontent.com/wlqY8gkVb9w1Ck5MVD4lBre9nWJez8/W10TelemetryBlocklist/master/W10TelemetryBlocklist
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Corona-Blocklist
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Win10Telemetry
https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt
https://raw.githubusercontent.com/qyqsoft/s-to/master/blocklist
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/samsung
https://v.firebog.net/hosts/Admiral.txt
https://v.firebog.net/hosts/Prigent-Crypto.txt
https://www.technoy.de/lists/fake-streaming.txt
https://www.technoy.de/lists/xporn.txt
https://raw.githubusercontent.com/hectorm/hmirror/master/data/eth-phishing-detect/list.txt
https://raw.githubusercontent.com/jdlingyu/ad-wars/master/hosts
https://raw.githubusercontent.com/w13d/adblockListABP-PiHole/master/Spotify.txt
https://raw.githubusercontent.com/r-a-y/mobile-hosts/master/AdguardMobileAds.txt
https://raw.githubusercontent.com/r-a-y/mobile-hosts/master/AdguardMobileSpyware.txt
https://www.technoy.de/lists/blocklist.txt
https://www.technoy.de/lists/Suspicious.txt
https://raw.githubusercontent.com/matomo-org/referrer-spam-blacklist/master/spammers.txt
https://someonewhocares.org/hosts/zero/hosts
https://raw.githubusercontent.com/vokins/yhosts/master/hosts
https://winhelp2002.mvps.org/hosts.txt
https://raw.githubusercontent.com/RooneyMcNibNug/pihole-stuff/master/SNAFU.txt
https://www.stopforumspam.com/downloads/toxic_domains_whole.txt
https://raw.githubusercontent.com/mitchellkrogza/Badd-Boyz-Hosts/master/hosts
https://raw.githubusercontent.com/mitchellkrogza/The-Big-List-of-Hacked-Malware-Web-Sites/master/hacked-domains.list
https://www.technoy.de/lists/malware2.txt
https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_all.list
https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_top1m.list
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/proxies
https://v.firebog.net/hosts/neohostsbasic.txt
https://paulgb.github.io/BarbBlock/blacklists/hosts-file.txt
https://hostfiles.frogeye.fr/multiparty-trackers-hosts.txt
https://raw.githubusercontent.com/HorusTeknoloji/TR-PhishingList/master/url-lists.txt
https://someonewhocares.org/hosts/hosts
https://blocklistproject.github.io/Lists/alt-version/abuse-nl.txt
https://blocklistproject.github.io/Lists/alt-version/ads-nl.txt
https://blocklistproject.github.io/Lists/alt-version/fraud-nl.txt
https://blocklistproject.github.io/Lists/alt-version/malware-nl.txt
https://blocklistproject.github.io/Lists/alt-version/phishing-nl.txt
https://blocklistproject.github.io/Lists/alt-version/piracy-nl.txt
https://blocklistproject.github.io/Lists/alt-version/porn-nl.txt
https://blocklistproject.github.io/Lists/alt-version/ransomware-nl.txt
https://blocklistproject.github.io/Lists/alt-version/redirect-nl.txt
https://blocklistproject.github.io/Lists/alt-version/scam-nl.txt
https://blocklistproject.github.io/Lists/alt-version/tracking-nl.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/domains.txt
https://raw.githubusercontent.com/Monstanner/DuckDuckGo-Fakeshops-Blocklist/main/Blockliste
https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADomains.txt
https://raw.githubusercontent.com/namePlayer/dhl-scamlist/main/dns-blocklists/pihole-blacklist
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/MS-Office-Telemetry
https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt
https://raw.githubusercontent.com/blocklistproject/Lists/master/phishing.txt
https://raw.githubusercontent.com/blocklistproject/Lists/master/malware.txt
https://raw.githubusercontent.com/blocklistproject/Lists/master/ransomware.txt
https://hostsfile.org/Downloads/hosts.txt
https://adblock.mahakala.is
https://raw.githubusercontent.com/blocklistproject/Lists/master/scam.txt
https://www.technoy.de/lists/Session-Replay.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt
https://malware-filter.gitlab.io/malware-filter/phishing-filter-hosts.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/hosts
https://raw.githubusercontent.com/SoftCreatR/fakerando-domains/main/all.txt
https://raw.githubusercontent.com/elliotwutingfeng/Inversion-DNSBL-Blocklists/main/Google_hostnames.txt
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock5
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock6
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting1
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting2
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting3
https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/DomainSquatting4
https://v.firebog.net/hosts/Kowabit.txt
https://raw.githubusercontent.com/blocklistproject/Lists/master/porn.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/ultimate.txt
https://adguardteam.github.io/AdGuardSDNSFilter/Filters/filter.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.txt
https://raw.githubusercontent.com/AdguardTeam/cname-trackers/master/data/combined_disguised_ads.txt
https://raw.githubusercontent.com/Spam404/lists/master/adblock-list.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/tif.txt
https://raw.githubusercontent.com/notracking/hosts-blocklists/master/adblock/adblock.txt
https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/AmazonFireTV.txt
https://raw.githubusercontent.com/AdguardTeam/cname-trackers/master/data/combined_disguised_trackers.txt
https://sysctl.org/cameleon/hosts
https://easylist.to/easylist/easylist.txt
https://raw.githubusercontent.com/Zaczero/pihole-phishtank/main/hosts.txt
https://small.oisd.nl
https://big.oisd.nl
https://nsfw.oisd.nl
http://phishing.mailscanner.info/phishing.bad.sites.conf
https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
https://secure.fanboy.co.nz/fanboy-cookiemonster.txt
https://easylist.to/easylist/easyprivacy.txt
https://secure.fanboy.co.nz/fanboy-annoyance.txt
https://easylist.to/easylistgermany/easylistgermany.txt
https://zoso.ro/pages/rolist.txt
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
Jetzt könnt ihr noch prüfen od Pihole richtig läuft mit dig microsoft.com @127.0.0.1
und die Antwort sollte so aussehen:
; <<>> DiG 9.18.24-1-Raspbian <<>> microsoft.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36213
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;microsoft.com. IN A
;; ANSWER SECTION:
microsoft.com. 213 IN A 20.236.44.162
microsoft.com. 213 IN A 20.70.246.20
microsoft.com. 213 IN A 20.112.250.133
microsoft.com. 213 IN A 20.231.239.246
microsoft.com. 213 IN A 20.76.201.171
;; Query time: 130 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sun Mar 17 11:55:36 CET 2024
;; MSG SIZE rcvd: 122
Ich empfehle noch in /etc/pihole/pihole-FTL.conf folgenden Eintrag, damit nicht dauern Fehlermeldungen in der Pihole Weboberfläche kommen dass die CPU Leistung zu gering sei o.ä.:
RATE_LIMIT=1000/60
CHECK_LOAD=false
MAXDBDAYS=30
Abschliessend und wichtig!
Ihr müsst nun den fertig eingerichteten Pihole in eurem Router/Firewall als einzigen DNS Server angeben damit wirklich alle DNS Anfragen ausschliesslich über den Pihole laufen und böse Domains gesperrt werden können.
Bei einer Fritzbox findet ihr den Eintrag unter Internet > Zugangsdaten im Reiter DNS-Server . Wenn ihr eurem Fritzbox DHCP Server den Pihole als DNS Server mitgeben wollt, so findet ihr die entsprechenden Einstellungen unter Heimnetz > Netzwerk im Reiter Netzwerkrinstellungen und dann ziemlich weit nach unter scrollen, dort sind zwei Buttons mit dem Namen IPv4-Einstellungen und IPv6-Einstellungen .
Neueste Kommentare