TIP#2828: Jak na Pi-hole pro domácí i firemní blokování reklamy a lepší bezpečnost (A jak ji mít na QNAP NAS)

Pi-hole je DNS server, který umí blokovat reklamu a také některé nebezpečné věci. Dělá to tak, že si v domácí/firemní sítě nastavíte jeho použití na počítačích i mobilních zařízeních a pokud kdokoliv/cokoliv bude chtít převést jméno na IP adresu a půjde o reklamní či nebezpečný server, tak Pi-hole znemožní připojení. 

Místo správné IP adresy prostě vrátí 0.0.0.0. Na reklamní či nebezpečnou adresu se tak nedostanete. Vše probíhá automaticky a v rozhraní Pi-hole se můžete podívat na statistiky, co bylo vyřízení/zablokováno, který z počítačů/strojů chtěl co a řadu dalších věcí. 

Můžete tam i Pi-hole dočasně (na zvolenou dobu) vypnout/deaktivovat. Bude pak fungovat jako běžný DNS server a blokovat nebude nic.

Testoval jsem ji pár posledních měsíců, byť tedy jenom na mých strojích doma – hlavním stroji. MacBooku, iPhone i iPadu. Zvolil jsem si striktní a široká omezení (viz ostatně dále) a musím říct, že míra blokování reklamy je velmi dobrá a zároveň to nemělo prakticky negativní dopad na přístup na Internet. Snahu Seznamu komplikovat lidem blokujícím reklamu život se naštěstí podařilo vyřešit velmi rychle a blokování funguje nadále. 

TIP: Proč je praktické blokovat reklamu. A proč na to máme právo

Pi-hole na QNAP NAS

Mám  QNAP NAS a ten má velmi dobré možnosti virtualizace (i proto jsem si ho pořizoval, včetně 16 GB paměti) pomoc Dockeru. A právě tam je možné si Pi-Hole pořídit, stejně jako to můžete udělat na Synology, Home Assistant, stroji s Linuxem a v řadě dalších možných cest.

Můžete Pi-Hole dát na něco jako Raspberry Pi Zero W pro malou síť (a samozřejmě cokoliv pokročilejšího od Raspberry). Návod viz Block ads at home with Pi-hole nebo The World’s Greatest Pi-hole (and Unbound) Tutorial 2023. A nezapomeňte, že budete muset nastavit statickou IP adresu, nechcete aby se vám DNS server stěhoval v síti. 

V QNAP v Container Station jděte do Explore a najděte Pihole, vyberete tu s nejvíce stažením a pak pokračuje nastavením – to nejzásadnější je, že ji musíte dát vlastní IP adresu – tedy přepnout na Bridge a statickou IP adresu (k tomu se dostanete přes Advanced Settings). . 

Pak už jen vyčkejte až se Pi-Hole v Docker spustí a můžete jít do administračního rozhraní – tj. otevřít v prohlížeč IP adresu, kterou jste ji přidělili,

Nastavení Pi-Hole

Projdete si založením účtu pro přístup (ID a heslo) a dostanete se do administračního rozhraní.

To nejpodstatnější co ještě musíte udělat je jít do Adlist a tam si nastavit filtry pro blokování. Velmi užitečný je StevenBlack / hosts 

• tedy konkrétně https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts 

Případně čistě české  easylistczechandslovak, konkrétně tedy 

• https://raw.githubusercontent.com/tomasko126/easylistczechandslovak/master/filters.txt

Chcete-li více, tak můžete najít další

• Avoid The Hack: The Best Pi-Hole Blocklists (2024)

• The Big Blocklist Collection

A velmi se může hodit Commonly Whitelisted Domains, tedy přehled domén, které je vhodné neblokovat. 

TIP: Jak poznám, že blokování funguje? Zkuste si otevřít něco, co má Pi-Hole blkovat, tedy z výše uvedeného seznamu například 44chan.me. Případně, pokročilejší cesta, je AdBlock Tester  nebo alternativu Test Ad Block. Ale pozor na pár zádrhelů, Chroma (například) má vlastní DNS cache, které musíte vymazat než budete testovat (chrome://net-internals/#dns), Windows si také leccos pamatují (ipconfig /flushdns) a pokud budete mít jako sekundá 8.8.8.8 od Google, tak mu Chrome bude dávat přednost před Pi-hole.

V administračním rozhraní se naučte používat i Disable blocking pro moment kdy potřebujete přístup bez omezení.

Velmi šikovné je Local DNS kde si můžete vytvořit jména pro lokální síť. Pi-hole tak poslouží i jako klasický DNS server, byť s ne tak širokými možnostmi jako nějaký plný 

Hodně užitečné pak může být zkoumání Query Log případně Dashboard -> Top Blocked Domain sledovat co je nejvíce předmětem blokování. A na stejném místě o kus níže Top Client (blocked only) se dá dostat k přehledu konkrétních blokací (přivede vás to Query Log). 

V Domains pak můžete přidávat ručně vlastní pravidla – ať už blokace nebo výjimky z blokací. Můžete to sem přidávat z “query log”, tedy z Query Log. 

Nezapomeňte prozkoumat i Settings. Vedle různě klasických věcí je tam Teleporter kde si můžete vytvořit zálohu konfigurace Pi-Hole a poté ji využít pro obnovení do nové instalace. 

Hezká jsou i Long-term Data, jen pozor, nevybírejte si All Time pokud to chcete mít “hned”. Ale i tento pohled je dost zajímavý. 

Pokud máte doma víc sítí (domácí, WI-Fi pro hosty, síť pro IoT), tak v Nastavení -> DNS musíte aktivovat Repond only on interface eth0 místo Allow only local requests

Pi-Hole toho umí mnohem víc, ale návod k ní psát nemíním. 

Začít používat v domácí/firemní sítí

Aby pihole mohlo začít sloužit pro vše co máte doma (ve firmě), tak je nutné nastavit DNS na adresu PiHole serveru. Můžete to dělat jednotlivě a ručně u klientů (z automatického přepnout na manuální a vyplnit) ale podstatně praktičtější je jít do routeru a tam změnit adresu DNS serverů právě na té s Pi-hole. Případně můžete Pi-Hole použít jako DHCP server. 

Ale pozor, nechte si tam jako záložní (tedy ten druhý něco jako Google DNS – protože až budete například aktualizovat pihole či server/nas kde běží, tak přijdete o DNS server. 

TIP: Jak na blokování reklamy na iPhone/iPadu

Ještě lepší blokování?

Pi-hole je DNS blokátor, neřeší obsah stránek, takže některé věci prostě blokovat nebude. Pokud chcete blokovat více a lépe, tak musíte jít do blokátorů reklamy v prohlížeč, tedy uBlock Origin (v Chrome končí, ale má náhradu uBlock Origin Lite). V Test Ad Block pak výsledek vybapadá takto:

• Pi-Hole samotné : 56 % 
• AdGuard samotný : 67 %
• uBlock Origin : 99 %
• uBlock Origin Lite : 99 %

Jen pozor, u Pi-Hole a AdGuardu záleží na tom, jaké blokační seznamy máte aktivní, ostatně totéž platí u uBlock Origin. 

Osobně bych tedy doporučil kombinaci. A to i z toho důvodu, že Pi-Hole (či AdGuard) umožňuje blokovat i nebezpečné domény, neřeší tedy jen reklamu. 

Tipy týkající se Chytré domácnosti

Bezpečnost Blokování inzerce Blokování reklamy DNS Internet Linux QNAP Software Soukromí