RPZ Blocklisten für den Heimgebrauch?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

RPZ Blocklisten für den Heimgebrauch?

Beitrag von reox » 23.05.2018 17:45:18

Ich habe jetzt ein wenig zu dem Thema DNS Blacklisting gelesen und es werden zB RPZ empfohlen. Einen interessanten Blogeintrag dazu habe ich hier gefunden: https://blog.cryptoaustralia.org.au/201 ... ns-server/
Dennoch sind wohl alle Services kostenpflichtig, die RPZ anbieten. SURBL schreibt zwar, dass die Verwendung der Listen für den Heimgebrauch kostenlos ist, aber die RPZ Zugänge gibts nur für Business und gegen Geld.
Was zB eine nette idee ist (und das geschäftsmodell von Farsightsecurity), ist alle domains die neu registriert werden für eine bestimmte Zeit zu sperren - was deren Dienstleistung kosten soll sagen sie aber leider auch nicht (und ist vermutlich für Zuhause auch zu teuer...).

Es gibt ja auch noch pi-hole, nur so wie ich das sehe ist das immer ein kompletter service den man da rennen haben muss und an den dann das DNS weitergeleitet wird. Kann man nicht deren Listen in einen bind9 einbauen?

Benutzeravatar
Hosi
Beiträge: 226
Registriert: 17.03.2003 15:17:29

Re: RPZ Blocklisten für den Heimgebrauch?

Beitrag von Hosi » 27.06.2018 20:40:55

Hi!

Du kannst ein pihole-System als forwarder für bind nutzen. Dabei bleibt bind der "Master"-DNS-Server.

Alternativ kannst Du pihole (genauer: dessen dnsmasq) als primären DNS-Server nutzen und den bind für die Auflösung von lokalen Zonen nutzen. Da dnsmasq keine rekursiven DNS-Queries unterstützt, musst Du sowieso einen Forwarder nutzen. Der Vorteil davon ist, dass Du die WebGUI von pihole nutzen kannst, um z.B. Statisitiken zu sehen, die Blocklisten zu aktualisieren, eigene white-/blacklisten zu pflegen, usw.

Wenn Du auf GUI und andere Annehmlichkeiten verzichten kannst, kannst Du die öffentlich verfügbaren DNS-Blacklisten auch eigenständig in bind einpflegen:
https://blog.bartlweb.net/2017/02/respo ... er-nutzen/

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: RPZ Blocklisten für den Heimgebrauch?

Beitrag von Lord_Carlos » 27.06.2018 20:56:40

Ich habe Pi-hole in einem docker laufen.
Wurde etwas fummelig weil ich es auch noch hinter einem nginx proxy habe. Aber sonnst geht das ohne weiteres. DNS anfragen werden von pi-hole an meinen router weitergeleitet.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: RPZ Blocklisten für den Heimgebrauch?

Beitrag von reox » 27.06.2018 21:36:06

Hosi hat geschrieben: ↑ zum Beitrag ↑
27.06.2018 20:40:55
Wenn Du auf GUI und andere Annehmlichkeiten verzichten kannst, kannst Du die öffentlich verfügbaren DNS-Blacklisten auch eigenständig in bind einpflegen:
https://blog.bartlweb.net/2017/02/respo ... er-nutzen/
Nur wo sind die RPZ Listen? Ich finde genau keine einzige die frei und öffentlich zugänglich ist...
Anstatt sowas:

Code: Alles auswählen

zone "rpz" {
 type master;
 file "/etc/bind/rpz";  # hier kann ich meine eigene Blockliste verwalten
 allow-query { none; };
};
bräuchte ich ja sowas:

Code: Alles auswählen

zone "rpz" {
        type slave;
        masters { 127.0.0.1; }; # hier die IP vom RPZ Blocklisten Namesevrer
        file "/var/cache/bind/rpz";
        allow-query { none; };
};
Ich habe bisher auch nicht herausgefunden, wie man an die Listen von pi-hole kommt ohne pi-hole zu installieren? Oder stell ich mich da grad zu blöd an :oops:

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: RPZ Blocklisten für den Heimgebrauch?

Beitrag von Lord_Carlos » 28.06.2018 06:58:32

reox hat geschrieben: ↑ zum Beitrag ↑
27.06.2018 21:36:06

Ich habe bisher auch nicht herausgefunden, wie man an die Listen von pi-hole kommt ohne pi-hole zu installieren? Oder stell ich mich da grad zu blöd an :oops:
Ja.
https://github.com/pi-hole/pi-hole/wiki ... r-Ad-Lists
https://github.com/pi-hole/pi-hole/blob ... ts.default

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

BenutzerGa4gooPh

Re: RPZ Blocklisten für den Heimgebrauch?

Beitrag von BenutzerGa4gooPh » 28.06.2018 08:11:03

reox hat geschrieben: ↑ zum Beitrag ↑
27.06.2018 21:36:06
... wie man an die Listen von pi-hole kommt ohne pi-hole zu installieren?
Für Firefox existiert das beliebte Addon uBlockOrigin. Nach (temporärer) Installation findet man in dessen Einstellungen die URLs entsprechender ASCII-Filter-Dateien, kann diese (regelmäßig) downloaden und beliebig, auch lokal verwenden.
https://addons.mozilla.org/de/firefox/a ... ck-origin/
Eventuell problematisch: unterschiedliche Formate.

Semi-OT:
In dem Zusammenhang vielleicht noch zum Sinn von DNS-Filtern und zur künftigen Entwicklung interessant, leicht verständlich geschrieben: https://www.heise.de/security/artikel/W ... 85947.html

Bez. Ciscos OpenDNS gefällt mir persönlich die Datenschutzerklärung bei kostenloser Nutzung nicht. Was oder wer ist die Ware eines kostenfeien Produktes? Für individualisierte Filter (z. B. mit vs. ohne Porno) muss man sich anmelden. DNS-Abfragen werden Geheimdienste sicherlich auch interessant finden.
https://www.opendns.com/home-internet-security/

Alle (?) IPs einzelner/großer Unternehmen mittels AS-Abfragen ermitteln: https://www.kuketz-blog.de/google-und-f ... lockieren/

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: RPZ Blocklisten für den Heimgebrauch?

Beitrag von reox » 28.06.2018 20:59:55

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
28.06.2018 06:58:32
reox hat geschrieben: ↑ zum Beitrag ↑
27.06.2018 21:36:06

Ich habe bisher auch nicht herausgefunden, wie man an die Listen von pi-hole kommt ohne pi-hole zu installieren? Oder stell ich mich da grad zu blöd an :oops:
Ja.
https://github.com/pi-hole/pi-hole/wiki ... r-Ad-Lists
https://github.com/pi-hole/pi-hole/blob ... ts.default
:oops: :oops: :oops: ok tatsächlich... mit einem kleinen bash script sollte man daraus ein zone file generieren können, welches bei jeder domain 127.0.1.1 (oder welche sollte man da verwenden?) stehen hat.
Ich werd mich damit mal herumspielen! Danke!

Antworten