Jump to content

Recommended Posts

Bonjour,

Je viens de recycler mon RPI3 en serveur DNS grâce à pi-hole.

J'ai configuré la blocklist en ajoutant la liste StevenBlack.fakenews-gambling. Après avoir rechargé la conf, configuré le DNS de mon PC vers l'IP de mon pihole, j'ai tenté un test basique : j'ai pris un domaine au pif dans le fichier texte, et je l'ai saisi dans Firefox. Résultat : le site s'est chargé.

Ensuite je suis allé dans l'interface web du pihole, dans la section Query log, j'ai trouvé la requête vers le site et j'ai bloqué le domaine. Il apparaît maintenant bien dans la Blocklist. Mais malgré ça, j'arrive toujours à afficher le site web.

Lorsque j'utilise directement le fichier hosts en question, rien ne passe.

Pourquoi ça ne fonctionne pas comme attendu ? Est-ce que j'ai mal configuré le comportement de pihole, ou j'ai mal compris son objectif ?

Share this post


Link to post
Share on other sites

si Firefox a déjà pu résoudre l'adresse, il la garde en cache un certain temps.

Vide le cache, redémarre Firefox ou carrément le PC et réessaie d'accéder à ce domaine.

Share this post


Link to post
Share on other sites

Ok, alors j'ai fait le test suivant, en prenant un autre domaine au pif dans le fichier cité :

  1. J'ajoute manuellement le domaine dans la blacklist pihole
  2. Je tente de le joindre avec Firefox : échec, test OK
  3. Je tente de pinger le domaine : ça réussit ! Pourquoi ?? Test NOK
  4. Je supprime le domaine de la blacklist pihole
  5. Je tente de le joindre avec Firefox : ça fonctionne ! Pourquoi ? Test NOK

Ça m'amène toujours à mes 2 questions :

  • Je ne comprends pas à quoi sert pihole s'il faut ajouter à la main tous les domaines qu'on veut voir bloqué. De fait, je ne comprends pas l'utilité des sources Blocklists. Je suppose donc que le comportement que j'obtiens est lié à une mauvaise configuration du serveur, mais l'interface web est très simple, et je ne vois pas de configuration particulière à changer. Je vois bien dans pihole le log des requêtes de mon PC, indiquant que la conf DNS de mon PC est correcte. Est-ce que en cas de fail du résolveur DNS, Windows va chercher dans la passerelle DHCP (qui se trouve être la livebox avec ses propres résolveurs) ?
  • Pourquoi, même quand le domaine est bloqué, le ping arrive à joindre le domaine ? Le tracert aussi d'ailleurs.

Et à une 3ème question nouvelle : lors du tracert d'un domaine, est-ce normal de ne pas voir le résolveur DNS dans la liste des sauts ?

Share this post


Link to post
Share on other sites

Bonjour,

tracert et ping utilise le protocole ICMP, cela vient peut-être de là.

Share this post


Link to post
Share on other sites

D'accord.. Mais du coup pihole n'est pas une solution suffisante pour tout un O.S. ?

Et quid de sa configuration de base ?

Share this post


Link to post
Share on other sites

Le filtrage DNS est très inefficace, la preuve par ce que tente de faire le gouvernement contre les sites pirates.

la solution la plus radicale est un firewall bloquant les requêtes vers les adresses ip des cibles

Share this post


Link to post
Share on other sites

Comme dit L33thium, les résultats sont cachés un certain temps localement. Si le domaine de test avait été par inadvertance contacté AVANT, alors il n'y a pas besoin de demander à pi-hole et donc ça passe.

Firefox les stocke normalement pas plus de 60 secondes, mais Windows (DNS Client Service) les stocke plus longtemps : 1 jour.

Normalement, un net stop dnscache et un ipconfig /flushdns devrait vider le cache DNS et aussi le rendre inopérant LE TEMPS DE LA SESSION, obligeant à constamment utiliser pi-hole à cet effet, parfait pour le test. Pour vérifier, ipconfig /displaydns pour voir s'il reste des enregistrements. En principe, il ne restera que ce qu'il y a dans HOSTS.

S'il faut aller plus loin pour être sûr, tu peux carrément (et définitivement) couper le service "DNS Client".

Juste au cas où, il faut en faire de même sur le Raspberry. Apparement pi-hole se sert de dnsmasq donc un simple restart du service suffira (ou un redémarrage du matériel) : service dnsmasq restart

Même les pings doivent échouer car demandant une requête DNS avant de balancer les ICMP.

Après on n'est jamais à l'abri d'une mauvaise installation de Pi-hole...

Edited by TheKillerOfComputer

Share this post


Link to post
Share on other sites
Il y a 17 heures, L33thium a écrit :

Le filtrage DNS est très inefficace, la preuve par ce que tente de faire le gouvernement contre les sites pirates.

C'est inefficace par ce qu'il suffit de changer de résolveur DNS. Le gouvernement Français impose aux FAI Français de mettre en place des DNS menteurs sur certains domaines. Mais si l'utilisateur change de résolveur DNS, c'est un contournement efficace. C'est en ça que ce sont des mesures inefficaces.

Ici la problématique est différente puisque c'est justement mon propre résolveur DNS que je cherche à mettre en place, et c'est moi seul qui ait le contrôle dessus. Si j'associe l'IP nulle 0.0.0.0 à un domaine spécifique, ce domaine deviendra inaccessible. C'est moi qui le rend "menteur".

Il y a 17 heures, L33thium a écrit :

la solution la plus radicale est un firewall bloquant les requêtes vers les adresses ip des cibles

C'est exactement ça que je souhaite mettre en place, mais au niveau nom de domaine et pas au niveau IP. Car je n'ai pas de liste d'@IP connue sous la main (ou alors il me faudrait un script qui génère cette liste à partir des noms de domaines contenus dans les sources des hosts que j'utilise).

 

Il y a 4 minutes, TheKillerOfComputer a écrit :

Après on n'est jamais à l'abri d'une mauvaise installation de Pi-hole...

Au final, ça va se terminer par une réinstallation complète, mais bon, l'installation était aisée et sans erreur...

Comme je l'ai expliqué un peu plus haut, si je consulte pour la première fois un domaine qui fait partie des listes de blocage automatique, j'arrive à le joindre, alors que je voudrais que ça ne soit pas le cas.

Share this post


Link to post
Share on other sites
Il y a 12 minutes, Nozalys a écrit :

Au final, ça va se terminer par une réinstallation complète, mais bon, l'installation était aisée et sans erreur...

Comme je l'ai expliqué un peu plus haut, si je consulte pour la première fois un domaine qui fait partie des listes de blocage automatique, j'arrive à le joindre, alors que je voudrais que ça ne soit pas le cas.

Et la grosse coincidence serait que tu avais déjà intérrogé ce domaine avant sur le PC de test. Après tout on parle de liens de pubs et chaque site a des centaines de fois l'envie de t'en faire contacter des centaines :DD

Coupe le service Client DNS de Windows pour être sûr, et flushe le cache. On ne sait jamais.

Après ça pourrait être la liste elle-même qui déconne ? La changer pour une autre peut donner un résultat.

Edited by TheKillerOfComputer

Share this post


Link to post
Share on other sites

Je ne pense pas à la coïncidence, c'était un site de casino japonais...

Pour ce qui est du rechargement du service DNS j'avais déjà tenté la manip sans succès. J'ai laissé de côté toute cette histoire par manque de temps, mais dès que je reprendrais je reviendrais ici. Je souhaite faire trop de choses en même temps et il faut que j'échelonne ça :

  • Utiliser le RPi comme serveur DHCP pour virer celui de la box et forcer tous les appareils y compris smartphones & tablettes à passer par PiHole
  • Utiliser le RPi comme serveur WakeOnLan via Internet (donc config de la box avec DNS dynamique)
  • Utiliser le RPi comme proxy (mais je crois que c'est un peu la même chose que PiHole)
  • Mettre en place un filtrage MAC pour gérer les nouveaux appareils (temporaires, amis, etc.)
  • Lier ce RPi avec un autre RPi qui va gérer la chaudière
  • Tenter d'exploiter la liason RF de quelques prises télécommandées du commerce...

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now

×
×
  • Create New...