Pi-Hole und Privoxy auf gleichem Rechner

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
hugediggs
Beiträge: 162
Registriert: 26.07.2012 22:40:23

Pi-Hole und Privoxy auf gleichem Rechner

Beitrag von hugediggs » 18.11.2017 08:40:02

Auf meinem Pi laufen Pi-Hole als DNS-Blocker und Privoxy zum filtern zusätzlicher Werbung.
Privoxy lauscht auf <Pi-Ip:8118>
Pi-DNS in der resol.conf: <Pi-Ip>
DNS in Pi-Hole: <Router-IP>
Lokaler Proxy in Firefox: <Pi-Ip:8118>

Funktioniert. Im Pi-Hole sehe ich alle DNS-Queries, als Client hingegen steht da ständig <Pi-Ip>. Logisch, da
Lokaler Firefox ==> <Pi-Ip>:8118 (Privoxy) ==> Privoxy geht auf resolv.conf ==> Weiterleitung lokal ==> Auflösung via Pi-hole
Jetzt kann man via iptables jeglichen Verkehr von 80 auf 8118 umleiten lassen, aber ich glaube nicht, dass das mein Problem lösen wird.

Besteht überhaupt die Möglichkeit, Pi-Hole und Privoxyx auf der gleichen Kiste laufen zu lassen und die DNS-Queries mit dem "richtigen" Client loggen zu lassen?

MSfree
Beiträge: 3653
Registriert: 25.09.2007 19:59:30

Re: Pi-Hole und Privoxy auf gleichem Rechner

Beitrag von MSfree » 18.11.2017 10:55:37

hugediggs hat geschrieben: ↑ zum Beitrag ↑
18.11.2017 08:40:02
Auf meinem Pi laufen Pi-Hole als DNS-Blocker und Privoxy zum filtern zusätzlicher Werbung.
Da inzwischen die meisten Anbieter ihre Webseiten verschlüsselt per HTTPS übertragen, ist der Einsatz von Privoxy mittlerweile ziemlich sinnlos.
Besteht überhaupt die Möglichkeit, Pi-Hole und Privoxyx auf der gleichen Kiste laufen zu lassen und die DNS-Queries mit dem "richtigen" Client loggen zu lassen?
Da ein Proxy "im Namen" des Clients die Webanfragen anfordert, ist es technisch unmöglich, DNS-Anfrage mit der Quell-IP des eigentlichen Clients zu loggen. Allerdings loggen Proxies ebenfalls, so daß du dann halt das Log des Proxies auswerten mußt.

Jana66
Beiträge: 3946
Registriert: 03.02.2016 12:41:11

Re: Pi-Hole und Privoxy auf gleichem Rechner

Beitrag von Jana66 » 18.11.2017 13:48:58

Mit Debianwireshark auf PI ("vor Proxy") oder/und dgl. auf Clients solltest du die originalen DNS-Anfragen und (richtige sowie beabsichtigt verfaelschte) DNS-Antworten sehen.

"dig" von Clients aus ist vllt. auch hilfreich. Anfragen ueber eigenen DNS-Forwarder (mein Cisco entspraeche deinem Raspi) und ueber oeffentlichen DNS verglichen: viewtopic.php?f=15&t=166959&hilit=Dnssec
(DNSSEC-Spezifika fuer dich wohl unwichtig, entsprechende dig-Optionen weglassen.)

Vgl. a. https://www.madboa.com/geek/dig/ usw.

Ohne DPI/MitM/Interception sind mit https nur komplette Server erkennbar/blockierbar.
https://wiki.squid-cache.org/Features/H ... onnections
https://de.m.wikipedia.org/wiki/Uniform ... ce_Locator
So wegen Alternativen. :wink:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Antworten