PI-hole

John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 Feb 2017

PI-hole

Berichtdoor John.B » 19 Feb 2017, 12:14

Wie heeft er goede ervaringen met PI-hole?
Draait dit op elke RPI?

Loopt de install vlot?
Kunnen er security problemen ontstaan?

Kan men in een bbox2 verwijzen naar het dhcp IP van de PI-hole?

Kan met een script schrijven om gebruiksvriendelijk de dhcp van de bbox 2 om te zetten naar een bepaald IP?
Bvb indien de RPI defect komt dat de gebruiker vanop een normale pc de dhcp weer op standaard kan zetten zonder dat die er echt kennis van moet hebben.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2470
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 116 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 19 Feb 2017, 12:39

Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.

De Pi Hole installeren verloopt heel vlot, draait hier zelfs nog op een 256MB PI (oude)

Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Afbeelding
Laatst gewijzigd door Tim.Bracquez op 19 Feb 2017, 13:49, 1 keer totaal gewijzigd.
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

Gebruikersavatar
honda4life
Elite Poster
Elite Poster
Berichten: 4188
Lid geworden op: 03 Jan 2010
Locatie: 127.0.0.1
Bedankt: 218 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 126 keer

Re: PI-hole

Berichtdoor honda4life » 19 Feb 2017, 13:37

Interessant, direct testen :-)
✂ – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 891
Lid geworden op: 18 Feb 2014
Locatie: Gent
Bedankt: 100 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 105 keer

Re: PI-hole

Berichtdoor MaT » 19 Feb 2017, 13:49

Tim.Bracquez schreef:Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.
-Met name de kosten in verband met de eindapparatuur (modem, settopbox, ...) zouden beperkt kunnen worden, als die toestellen hergebruikt zouden kunnen worden of vrij gekozen worden door de klant- Bron

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2470
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 116 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 19 Feb 2017, 13:50

@MaT: Zo werkt dit niet, dit werkt Round Robin. Dus je gaat dan het nut van de pi hole weghalen
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

jphermans
Pro Member
Pro Member
Berichten: 412
Lid geworden op: 31 Aug 2009
Twitter: jp_hermans
Locatie: Aalst
Bedankt: 8 keer
Uitgedeelde bedankjes: 33 keer

Re: PI-hole

Berichtdoor jphermans » 19 Feb 2017, 14:00

MaT schreef:
Tim.Bracquez schreef:Wanneer de pi failt is het wel niet zo eenvoudig om deze voor een gewone gebruiker terug te zetten.

Wat ik doe is de primaire DNS server instellen op de PI en een secundaire DNS instellen op openDNS of google DNS.
In geval dat de Pi eruit ligt nemen de clients automatisch de secundaire server. Gewone gebruikers merken dus niets, buiten dat er wat reclame terug staat.

Zo doe ik het dus ook en dit werkt toch fijn. Wannneer de pi er om de een of andere reden uit ligt. Kan iedereen thuis nog op het net.
Orange Internet
Orange Tv

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2470
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 116 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 19 Feb 2017, 14:26

Ter info: Meerdere DNS servers instellen is GEEN fallback! Je PC en je router gaat altijd RANDOM (round robin) deze DNS servers gebruiken. Kijk in men afbeelding naar bijvoorbeeld "forward destinations": https://puu.sh/ua8za/876792634c.png dit zijn de 2 achterliggende DNS servers die de pi hole used, je ziet mooi de bijna 50/50 verdeling!

Dus 2 dns servers is geen failover voor dit, je gaat dan steeds reclame blijven krijgen en eigenlijk je pi-hole voor niets gebruiken (voor 50%)
Het gaat werken maar de helft (ongeveer) van je queries gaan de deur uit via de andere DNS server

Beter is je router de DNS laten spelen en hier als DNS servers waar die alles gaat resolven je PI hole gebruiken. Voordeel is dan dat je clients nooit andere DNS servers moeten krijgen. Ligt je PI hole er uit, dan gewoon in je router de DNS servers aanpassen naar publieke ipv je pi hole
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

jphermans
Pro Member
Pro Member
Berichten: 412
Lid geworden op: 31 Aug 2009
Twitter: jp_hermans
Locatie: Aalst
Bedankt: 8 keer
Uitgedeelde bedankjes: 33 keer

Re: PI-hole

Berichtdoor jphermans » 19 Feb 2017, 19:45

Omdat ik nogal veel weg ben voor het werk en mijn vrouw niet weet wat te doen wanneer de pi zou uitliggen en ze ook geen dns server kan invullen in de router, hou ik het voorlopig zo.
Zal anders nog een pi-hole draaien op een vm en deze dan als failback gebruiken.
Orange Internet
Orange Tv

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5611
Lid geworden op: 28 Jan 2012
Bedankt: 421 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 19 Feb 2017, 20:22

Juist, wat Tim zegt klopt volledig.

Het is een (klassieke, veel voorkomende) vergissing te denken dat windows de dns servers die je instelt in volgorde gaat aanspreken.
Hij gaat willekeurig eentje kiezen uit zijn lijst.

DidierS
Member
Member
Berichten: 61
Lid geworden op: 24 Jul 2012
Twitter: ON8SD
Locatie: JO11ib
Bedankt: 2 keer
Contact:

Re: PI-hole

Berichtdoor DidierS » 19 Feb 2017, 21:14

Pi-Hole draait hier ook al een geruime tijd naar volle tevredenheid op een oude RPi van de eerste generatie. Nog geen fails gehad er op dus ook geen automatische oplossing voor handen als het toch eens gebeurd... dan moet de vriendin maar naar 4G tot ik thuis ben :lol: . Recent beginnen experimenteren met upstream OpenDNS voor parental control en dat lijkt ook vlotjes te gaan.

John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 Feb 2017

Re: PI-hole

Berichtdoor John.B » 23 Feb 2017, 23:46

Is er een manier om het pi hole dashboard onbereikbaar te maken voor alle gebruikers?
enkel admin login om onterechte block in de whitelist te zetten.

Dit omwille van privacy rules.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1060
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 61 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 38 keer

Re: PI-hole

Berichtdoor Sinna » 24 Feb 2017, 07:01

Welke versie van Pi-Hole draai je? In recentere versies is de admin-interface afgeschermd met een wachtwoord.
Computer(k)nul

DidierS
Member
Member
Berichten: 61
Lid geworden op: 24 Jul 2012
Twitter: ON8SD
Locatie: JO11ib
Bedankt: 2 keer
Contact:

Re: PI-hole

Berichtdoor DidierS » 24 Feb 2017, 10:27

Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).

vverbeke
Pro Member
Pro Member
Berichten: 288
Lid geworden op: 19 Mei 2009
Locatie: Avelgem
Bedankt: 24 keer
Uitgedeelde bedankjes: 5 keer

Re: PI-hole

Berichtdoor vverbeke » 24 Feb 2017, 10:39

Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.


In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:
@home: VDSL 100/6 • @work: fiber 50/50 + VDSL 70/10

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2470
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 116 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 24 Feb 2017, 13:18

@vverbeke: Ah stom, zelf geen bbox in use. De 2 wel al op gedaan. Zelf doe ik altijd zelf de PPPoE op een MikroTik RouterBoard.
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

remus
Pro Member
Pro Member
Berichten: 249
Lid geworden op: 28 Dec 2009
Bedankt: 11 keer
Uitgedeelde bedankjes: 18 keer

Re: PI-hole

Berichtdoor remus » 24 Feb 2017, 13:19

vverbeke schreef:
Tim.Bracquez schreef:Hier draait dit al enige tijd, heel tevreden. Je moet in de bbox de dhcp server aanpassen dat deze andere DNS servers door geeft.


In de bbox3 gaat dat dus niet meer, DNS server kunnen niet aangepast worden :bang:


is de bbox3 in bridge zetten en eigen router erachter dat je zo wel je dns naar keuze kan instellen geen alternatief?

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2470
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 116 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 24 Feb 2017, 13:23

@remus & @vverbeke: Inderdaad. Je kan zelfs vanop je Rasp PI dit doen de PPPoE en routeren als je wilt. Zelf nog niet getest, maar zie dat sommige mensen de PI als router gebruiken.

Hier draait naast de PI-hole ook monitoring en heel de sturing van mijn esp8266 automatisatie
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

guntherstassen
Plus Member
Plus Member
Berichten: 195
Lid geworden op: 09 Feb 2011
Locatie: Sint-Truiden
Bedankt: 24 keer
Uitgedeelde bedankjes: 2 keer

Re: PI-hole

Berichtdoor guntherstassen » 25 Feb 2017, 13:40

Net getest in een VMWARE omgeving.. Mijn raspy's zijn momenteel allemaal in gebruik.
Wel al enkele domeinnamen zelf in de blacklist moeten zetten (oa ligatus.com -> Enorm storende advertentieshit)
Ben eigenlijk verwonderd dat het goed werkt.... zal toch maar eens kijken om een pi'ke vrij te krijgen om deze op te installeren.

Of heeft iemand interesse om dit in de cloud te steken? :-)

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2470
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 116 keer
Contact:

Re: PI-hole

Berichtdoor Tim.Bracquez » 25 Feb 2017, 13:46

guntherstassen schreef:Of heeft iemand interesse om dit in de cloud te steken? :-)

"Bijna" onmogelijk. Want je zet namelijk een Open Resolver op. Dus die wordt gewoon misbruikt voor DDoS attacks en dergelijke. Google / OpenDNS hebben een hele dure infrastructuur om dit te draaien en onder controle te houden.

Simpel voorbeeldje, een klant draaide dit, een week later ging er een 10Gbit verkeer naar toe naar de open resolver :-)

Je moet al bijna enkel van sommige IP's toegang laten, maar zonder static IP's is dit zeer lastig.

Meer info over dit probleem: http://openresolverproject.org/
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 Feb 2017

Re: PI-hole

Berichtdoor John.B » 01 Mar 2017, 22:19

DidierS schreef:Ik denk dat hij de interface niet zichtbaar wil om zo te vermijden dat andere gebruikers kunnen zien wanneer er iemand online gaat (bv om zo te weten te komen wanneer iemand wakker is of slaapt, ik zeg maar iets).


Correct. De hele interface moet achter paswoord komen zitten.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1060
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 61 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 38 keer

Re: PI-hole

Berichtdoor Sinna » 01 Mar 2017, 22:33

Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.
Computer(k)nul

kamiel
Premium Member
Premium Member
Berichten: 498
Lid geworden op: 18 Jun 2012
Bedankt: 27 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 108 keer

Re: PI-hole

Berichtdoor kamiel » 01 Mar 2017, 22:34

iemand enig idee hoe je stieve kan whitelisten? Gewoon stievie.be of watch.stievie.be in de whitelist zetten werkt niet...
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
TV: Netflix, Stievie, VRTNU en vier.be
VOIP: Weepee (inkomend), Freevoipdeal (uitgaand) via Raspbx
GSM: Orange (met Chinese Oukitel K4000)

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5611
Lid geworden op: 28 Jan 2012
Bedankt: 421 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 02 Mar 2017, 00:03

Sinna schreef:Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.


Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1060
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 61 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 38 keer

Re: PI-hole

Berichtdoor Sinna » 02 Mar 2017, 08:41

Dat bedoelde ik dus, maar ik kon niet meteen op de juiste termen komen. Bedankt!
Computer(k)nul

silencer
Elite Poster
Elite Poster
Berichten: 3826
Lid geworden op: 08 Jul 2008
Locatie: 398m van de ROP@0.48dB
Bedankt: 96 keer
Uitgedeelde bedankjes: 139 keer

Re: PI-hole

Berichtdoor silencer » 02 Mar 2017, 21:32

Welke whitelist kun je gebruiken om Stevie toe te laten ?
Lukt mij maar niet icm de Pi-hole.

kamiel
Premium Member
Premium Member
Berichten: 498
Lid geworden op: 18 Jun 2012
Bedankt: 27 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 108 keer

Re: PI-hole

Berichtdoor kamiel » 02 Mar 2017, 22:04

Hier zelfde probleem
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
TV: Netflix, Stievie, VRTNU en vier.be
VOIP: Weepee (inkomend), Freevoipdeal (uitgaand) via Raspbx
GSM: Orange (met Chinese Oukitel K4000)

Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5128
Lid geworden op: 04 Okt 2004
Locatie: Geel
Bedankt: 89 keer
Uitgedeelde bedankjes: 53 keer

Re: PI-hole

Berichtdoor Ofloo » 04 Mar 2017, 13:47

als je zelf bind draait gewoon downloaden en includen, .. https://loki.ofloo.net/blackhole.zone

jphermans
Pro Member
Pro Member
Berichten: 412
Lid geworden op: 31 Aug 2009
Twitter: jp_hermans
Locatie: Aalst
Bedankt: 8 keer
Uitgedeelde bedankjes: 33 keer

Re: PI-hole

Berichtdoor jphermans » 04 Mar 2017, 14:27

Weet iemand hoe de ads bij androidworld.nl te verbergen?
Deze zijn dus duidelijk nog zichtbaar.
Orange Internet
Orange Tv

Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5128
Lid geworden op: 04 Okt 2004
Locatie: Geel
Bedankt: 89 keer
Uitgedeelde bedankjes: 53 keer

Re: PI-hole

Berichtdoor Ofloo » 04 Mar 2017, 14:39

welke adds ???

jphermans
Pro Member
Pro Member
Berichten: 412
Lid geworden op: 31 Aug 2009
Twitter: jp_hermans
Locatie: Aalst
Bedankt: 8 keer
Uitgedeelde bedankjes: 33 keer

Re: PI-hole

Berichtdoor jphermans » 04 Mar 2017, 16:12

Wannneer ik naar androidworld.nl surf zie ik veel reclame staan. Zie foto.
Bijlagen
Screenshot_20170304-160958.jpg
Orange Internet
Orange Tv

John.B
Starter
Starter
Berichten: 7
Lid geworden op: 19 Feb 2017

Re: PI-hole

Berichtdoor John.B » 05 Mar 2017, 11:10

ITnetadmin schreef:
Sinna schreef:Kan je dan niet op webserver-niveau een wachtwoord vereisen? Dat kan toch niet zo moeilijk zijn.


Dat is zelfs niet moeilijk, met een apache.

Gewoon htaccess file, htpasswd file met de user/pwd combi (en desgewenst htgroup file om de users in groups te steken).
Daar vind je makkelijk info over terug op internet.


En hoe kan dit eenvoudig onder lighttpd ?

silencer
Elite Poster
Elite Poster
Berichten: 3826
Lid geworden op: 08 Jul 2008
Locatie: 398m van de ROP@0.48dB
Bedankt: 96 keer
Uitgedeelde bedankjes: 139 keer

Re: PI-hole

Berichtdoor silencer » 09 Mar 2017, 20:25

kamiel schreef:Hier zelfde probleem

Query log laten lopen en whitelisten (enkele keren) en het is gelukt :-)
Show blocked query's only aanvinken.

kamiel
Premium Member
Premium Member
Berichten: 498
Lid geworden op: 18 Jun 2012
Bedankt: 27 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 108 keer

Re: PI-hole

Berichtdoor kamiel » 09 Mar 2017, 20:29

'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
TV: Netflix, Stievie, VRTNU en vier.be
VOIP: Weepee (inkomend), Freevoipdeal (uitgaand) via Raspbx
GSM: Orange (met Chinese Oukitel K4000)

silencer
Elite Poster
Elite Poster
Berichten: 3826
Lid geworden op: 08 Jul 2008
Locatie: 398m van de ROP@0.48dB
Bedankt: 96 keer
Uitgedeelde bedankjes: 139 keer

Re: PI-hole

Berichtdoor silencer » 09 Mar 2017, 20:41

kamiel schreef:'k het ook nog eens proberen, maar zal volledig opnieuw moeten beginnen. M'n raspberry pi reageert ondertussen niet meer.

Mijn whitelist (kan mss nog beter):
raw.githubusercontent.com
mirror1.malwaredomains.com
sysctl.org
zeustracker.abuse.ch
s3.amazonaws.com
hosts-file.net
gigya.com
cdns.gigya.com
gscounters.eu1.gigya.com
medialaancdn.be
libs.medialaancdn.be
adm.fwmrm.net
cdn.gigya.com
socialize.eu1.gigya.com
dev.visualwebsiteoptimizer.com
m1.fwmrm.net
js.moatads.com

JimmyK
Starter
Starter
Berichten: 2
Lid geworden op: 18 Mar 2017

Re: PI-hole

Berichtdoor JimmyK » 18 Mar 2017, 11:12

Iemand een idee how to block acces naar andere dns servers?

Dus dat de pi hole binnen het network the only is die men can gebruiken?

Moeten er ports toegezet worden in de modem\router?

Gebruikersavatar
foxhound
Plus Member
Plus Member
Berichten: 192
Lid geworden op: 06 Mei 2009
Bedankt: 18 keer
Uitgedeelde bedankjes: 1 keer

Re: PI-hole

Berichtdoor foxhound » 18 Mar 2017, 16:56

DNS disablen op andere apparaten die dienst kunnen doen als DNS in je netwerk, en op routerniveau poort 53 blokkeren outbound, natuurlijk je forward DNS die je gebruikt whitelisten. Interne apparaten kunnen dan nog altijd rechtstreeks je upstream DNS contacteren wel.

Zelf nog nooit getest, dus mileage may vary.
Afbeelding

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 25979
Lid geworden op: 28 Okt 2003
Bedankt: 1742 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 270 keer

Re: PI-hole

Berichtdoor r2504 » 18 Mar 2017, 22:21

foxhound schreef:en op routerniveau poort 53 blokkeren outbound


Probleem is dat er genoeg DNS servers zijn die luisteren op alternatieve poorten... oa. OpenDNS op 5353.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5611
Lid geworden op: 28 Jan 2012
Bedankt: 421 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 18 Mar 2017, 23:22

Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.

Kijk bv naar dingen als websockets, technologie die video streaming laat encapsuleren in http pakketjes, puur om voorbij firewalls te geraken.

Geef het nog 10 jaar, en bijna alle internet traffiek zal over poorten 80 en 443 lopen, denk ik soms :-p

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 25979
Lid geworden op: 28 Okt 2003
Bedankt: 1742 keer
Recent bedankt: 8 keer
Uitgedeelde bedankjes: 270 keer

Re: PI-hole

Berichtdoor r2504 » 19 Mar 2017, 10:46

ITnetadmin schreef:Ja. Hoe meer admins standaard poorten blokkeren, hoe meer er alternatieve poorten gebruikt worden.


In een correct netwerk staat dan ook alles toe outbound... behalve de services die je echt nodig hebt.

Waarom zouden er 65000 poorten openstaan als je enkel surft op poort 80 en 443.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5611
Lid geworden op: 28 Jan 2012
Bedankt: 421 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: PI-hole

Berichtdoor ITnetadmin » 19 Mar 2017, 14:25

Omdat een port een conventie is, en onnodige port blocking enkel programmeurs ertoe leidt om protocols op non-standard poorten te gooien.
Wat heb je eraan als iedereen alles op port 80 gaat zetten, omdat ze weten dat dat de enige open port is waarvan je zeker kan zijn dat ze open is wanneer je ergens op een guest wifi zit?

Dat gaat van mensen die ergens in een bedrijf als guest zijn, tot zieken die in het ziekenhuis op hun laptop wat bezig willen zijn, tot mensen die vanop eender welke locatie willen remoten naar een andere pc, tot mensen die overal willen streamen zonder tegen een of andere public firewall te lopen die net die port blokkeert.

En van welke ports ben je zeker dat ze zowat altijd open zijn?
Juist, 80 en 443.

Niet alleen gaat gewoon bijna alle user traffic langs die ports gaan op lange termijn, maar meer en meer traffic gaat zich ook camoufleren als webtraffic.
Wat niet zo moeilijk zal zijn nu ongeveer alles encrypted verloopt, dus deep packet inspection gaat over de jaren een maat voor niks worden.
Neem dat maar als een voorspelling van mij ;-)

Kijk nu al maar ns naar websocket streaming, dat zich in http pakketjes steekt om firewalls te passeren, of teamviewer die zich op port 80 verbindt om door zoveel mogelijk firewalls te geraken (wat de grootste ergernis bij logmein is/was voor velen die ik ken; half de KULeuven bv gebruikt teamviewer om de KUL firewall te kunnen passeren).


Terug naar “Non-Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten