Werbung per DNS/Hostsdatei (im Router/am Supernode) blocken

rubo77 · 9. September 2018 um 15:14

Normalerweise ist das natürlich keine gute Idee in den Netzwerkverkehr einzugreifen, aber wenn man selbst der einzige Nutzer seines Netzes ist, dann wäre eine Option sehr praktisch, wenn ein Freifunk Router die Funktion eines PiHoles übernehmen könnte, also die Werbing schon beim Internet Zugang blocken.

Ich habe gehört in Suddeutschland gibt es sogar eine Community, die das standardmäßig einsetzt (nicht empfohlen meiner Meinung nach) und zwar sogar so, dass alle Werbebanner durch Werbung für Freifunk ersetzt wird und der User so z.B. in Apps auf seinem Mobiltelefon plötzlich Freifunk Werbung eingeblendet sieht LOL

Wie könnte man das einbauen? Vielleicht könnte man das ja auch als zusatzoption im Gluon Paket „Private WiFi“ ergänzen und dann nur für das Private Wlan so configurieren.

stefan · 9. September 2018 um 15:18

Wir hatten uns auch schon Gedanken gemacht.

Das default aktiviert zu haben geht meiner meinung nach nicht.
Wir sind am Ende drauf gekommen ein Opt-In auf einem Webinterface zu machen wo man sein Gerät registrieren kann. Das müsste nur in einer Liste landen und der DHCP könnte dann nach der Liste den Clients einen anderen DNS Server geben.

War bis jetzt aber nur eine Idee, umgesetzt ist das noch nicht.

anon68922371 · 9. September 2018 um 15:26

Opt in auf einen alternativen DNS Server auf dem Gw der das wegfiltert.

adorfer · 9. September 2018 um 19:08

Ich denke, dass das nichts ist, was man im netz tun sollte, sondern auf dem Endgerät stattfinden sollte.
Einfach weil man damit (wie bei jeder Filterstruktur) einen Weg in die Hölle™ vorbereitet.

wusel · 10. September 2018 um 00:26

Derlei „auf dem Endgerät“ umzusetzen, ist IMHO nicht trivial, spätestens bei iOS-Devices? Ich nutze selbst PiHole (in Form einer x86-VM) zuhause und bin zunehmend genervt vom Surfverhalten außerhalb der eigenen vier Wände.

rubo77 · 10. September 2018 um 10:44

ich habe einen tipp zu einer quick&dirty Lösung von @rotanid:

11:55: manuell die dnsmasq config anpassen… doku lesen.
Dann Anpassungen per sed machen, sed befehle in die rc.local

rubo77 · 10. September 2018 um 19:06

Für OpenWrt gibts es das Package „adblock“:

zero-conf like automatic installation & setup, usually no manual changes needed

einfach

opkg update
opkg install adblock

scheint zu laufen, ist installiert… mal testen…

hmm, irgendwie schnall ich das noch nicht. hab dies probiert:

uci set adblock.global.adb_enabled=1
uci commit adblock
/etc/init.d/adblock enable
/etc/init.d/adblock start

aber irgendwie schnall ich nicht ob der jetzt was tut:

# /etc/init.d/adblock status
::: adblock runtime information
  + adblock_status  : enabled
  + adblock_version : 3.5.5-2
  + overall_domains : 0 (normal mode)
  + fetch_utility   : /bin/uclient-fetch (-)
  + dns_backend     : dnsmasq (/tmp)
  + last_rundate    : 10.09.2018 21:23:36
  + system_release  : TP-Link Archer C50 v3, OpenWrt 18.06-SNAPSHOT r7298+7-f7413579c0

adorfer · 10. September 2018 um 19:27

aber das wird doch so kaum (hoffentlich) nicht auf L2-Ebene in den Traffic eingreifen.

rubo77 · 11. September 2018 um 15:13

enabled hab ich adblock ja, aber es lädt keine blocklists runter. habs erstmal wieder deinstalliert. vielleicht findet ja jemand raus, wie es geht.

hab im chat noch ein paar tipps:

@omni: (aus Schwedden http://pjodd.se/ )
00:43 rubo77|m: we run unbound on our gateways and do some adblocking through that ansible/dns.yml at master · pjodd/ansible · GitHub
00:44 granted clients use our announced dns services

fwiw: spamhaus has a bgp feed for networks one should filter out for maleware/botnet reasons

01:29: DROP - Don't Route or Peer lists - The Spamhaus Project

Und vielleicht weis ja jemand, wei man den dnsmasq umkonfigurieren kann, dass der eine blocklist benutzt? Reicht ja auch erstmal, wenn man von hand eine blocklist runterlädt und die irgendwo dann aktiviert, dass der router die benutzen soll.

Ich habe schon probiert was in der /etc/hosts einzutragen`um das auf 127.0.0.1 umzuleiten, aber das scheint aber nichts zu bewirken, weder wenn ich im freifunk-wlan bin (nicht verwunderlich) aber auch nicht, wenn ich im Private WiFi bin.

rubo77 · 11. September 2018 um 15:58

Schade:

das private wifi interface ist nur eine bridge in dein privates netzwerk, da ist keinerlei mitsprache des gluon routers dabei… fällt mir grade so auf, daher ist dnsmasq und so weiter piepegal

the router would have to dnat dns queries in order for that to work
gluon isnt prepared to serve every niche usecase
gluon isn’t in a good position to filter your wan-bridge internet access

ChristianBerndt · 24. September 2018 um 08:51

Eine Idee für überlastete Server ?

Bis zu 62% der DNS Anfragen werden bei mir zuhause vom PiHole ausgefiltert. in der Firma bei 28%.

Damit ist PiHole eine echte Überlegung wert wenn es gilt überlastete Server am Leben zu halten. Es hängt eine Menge Performance da mit dran.

Ich würde es auch kritisch sehen wenn Freifunk neuerdings anfangen würde Inhalte auszufiltern. Das wäre quasi eine Vorstufe zur Zensur - und steht der Freifunk-Idee entgegen. Auf der anderen Seite: als Notfallprogramm für überlastete Server kommt es mir akzeptabel vor.

Sollten wir das mal diskutieren ?

Nur als Detail: PiHole läuft bei mir auf einem Raspi. Und hat aktuell mit Freifunk nichts zu tun. Ein großartiges Bastelprojekt welches mir einen leichten Einstieg in die Raspberry-Welt beschert hat - ich bin schwer begeistert. Und es funktioniert einfach nur so, bedarf keiner Konfiguration auf den Handy´s und Rechnern.

Liebe Grüße
Christian

Comacho · 24. September 2018 um 09:22

Bezüglich PPA gibt’s da nichts zu diskutieren, es fällt unter Manipulation des Traffics, also ein No-Go

rotanid · 24. September 2018 um 10:58

Wenn man unbound nutzt, sind DNS-Abfragen wirklich kein Problem für einen kleinen Server.
Wenn man noch dnsmasq hat, vielleicht, dann kann man aber ja umstellen.

anon68922371 · 24. September 2018 um 11:33

Ich glaube er meint den nach der DNS Anfrage folgenden Traffic der für Werbung draufgeht.

rotanid · 24. September 2018 um 11:47

äh, ja, sorry, irgenwie logisch…
Dann bleibt mir aber auch weiterhin nur, mich @comacho anzuschließen. Keine Traffic-Manipulation tragbar in einem Freifunk-Netz.

adorfer · 24. September 2018 um 15:30

Es steht jeder/m frei, einen zweiten DNS und/oder einen HTTP(s)-Filterproxy (nach welchen Kriterien auch immer) im Netz anzubieten. Und diesen auch gern irgendwo in FAQs/Webseite zu bewerben.

Aber egal was man da tut, es wird in jedem Fall

hakelig für mindestens irgendwelche Engeräte
ein zusätzlicher PointOfFailure
von der Latenz ein zweischneidiges Schwert

Unterm Strich: Man möchte so etwas im Endgerät tun.
Und sollte es ein Endgerät nicht hergeben, solche Dinge zu tun, dann kann man sich natürlich schon fragen, ob das vielleicht wirklich das richtige Endgerät für die eigenen Bedürfnisse ist. (und bei zukünftigen Neuanschaffungen evtl dort ansetzen.)