Group Management - nur ausgewählte Domains durch lassen

Help Deutschsprachige Hilfe
1

Hallo

ich habe im Adminbereich das Group Management entdeckt.
Kann ich damit einem Gerät im lokalen Netz explizit nur in einer Liste zusammengefasste Domains erlauben? Also dass nur diese richtig aufgelöst würden?

Ich suche nach einer Kindersicherung, wo ich für ein Laptop oder Tablet nur so ein paar Kindersuchseiten zulasse, aber alles andere soll nicht durchgelassen werden.
Also eine positiv Liste.
Hatte zuvor in dem administrator.de Forum generell gefragt und bin jetzt hier gelandet.

Danke für Tipps.
franc

1 Like
2

Ja, das geht. Du brauchst eine neue Gruppe, in der die Clients drin sein sollen, für die das o.g. funktionieren soll. Diese Clients entfernst du dann aus der Default gruppe. Dann blockierst du erstmal alles mit einem blacklist regex .* und dann gibst du selektiv per whitelist frei.

https://docs.pi-hole.net/database/gravity/example/

1 Like
3

Das heißt eine Whitelist Regel überschreibt eine Blacklist Regel?

4

Ja.

1 Like
5

Habe es also gemacht:

Gruppe erstellt "Kinderseiten", dann unter Domains eine nach der anderen Domain als Whitelist Eintrag hinzugefügt und jeweils nur der Gruppe Kinderseite hinzugefügt, dann noch den Blacklisteintrag für alles ebenso. Jetzt kann ich unter Clients einem Gerät nur diese Gruppe Kinderseiten zuordnen.

Danke!

6

Hm.
Habe es testweise auf meinem Laptop probiert, also die Kinderseiten Regel (und nur die, nicht auch die Default) dem Client Laptop zugewiesen, dann 'Update Gravity' und zusätzlich auf der Kommandozeile noch:

pihole restartdns reload-lists

gemacht, aber scheint nicht zu funktionieren. Ich kann mit dem Laptop noch jede Seite aufrufen.
Die Blacklist .* ist eindeutig der Gruppe Kinderseiten zugeordnet, sowie die Whitelists für die paar erlaubten Domains.
Wo schau ich da nach, warum es nicht funktioniert?

7

Bitte lade ein Debug Log hoch und poste hier anschliessend nur das Token. Bitte poste nur den Code, nicht die ganze URL.

Das Token generierst Du über

pihole -d

wobei Du die Frage nach dem Upload bejahst, oder Du machst das über die Weboberfläche:
Tools > Generate Debug Log

8

s6ixlFHz

Wobei ich das Debug log erstellt hatte, als ich das Gerät nicht mehr mit der Kinderseiten Gruppe verbunden hatte. Ich lasse ungern so eine Regel nur zum Testen aktiv, auch wenn sie im Moment nicht funktioniert. Nachher vergesse ich es und dann funktioniert es plötzlich :slight_smile:

Aber gerade habe ich die Regel für ein anderes Gerät getestet und es ging dort auch nicht.
Ist denn eigentlich das Update Graviti in der Weboberfläche das selbe wie der restartdns Befehl?

9

w0FSdmq6

Das ist jetzt das Token für einen Test mit meinem Telefon, das habe ich der Kinderseiten Gruppe zugeordnet, restartdns reload-lists ausgeführt und dann im Browser des Telefons Seiten aufgerufen außerhalb der Kinderseiten. Geht, blockt nichts, funktioniert also nicht :frowning:

10 
** [ DIAGNOSING ]: Groups
   id    enabled  name                                                date_added           date_modified        description                                       
   ----  -------  --------------------------------------------------  -------------------  -------------------  --------------------------------------------------
   0           1  Default                                             2021-10-25 15:34:49  2022-02-19 08:57:56  The default group                                 
   1           1  Kinderseiten                                        2022-02-19 08:40:51  2022-02-19 08:40:51  Erlaubte Kinderserien   

*** [ DIAGNOSING ]: Domainlist (0/1 = exact white-/blacklist, 2/3 = regex white-/blacklist)
   id     type  enabled  group_ids     domain                                                                                                date_added           date_modified        comment                                           
   -----  ----  -------  ------------  ----------------------------------------------------------------------------------------------------  -------------------  -------------------  --------------------------------------------------
 8         3        1  1             .*                                                                                                    2022-02-19 08:59:45  2022-02-19 09:04:03  Alles blocken                              

*** [ DIAGNOSING ]: Clients
   id    group_ids     ip                                                                                                    date_added           date_modified        comment                                           
   ----  ------------  ----------------------------------------------------------------------------------------------------  -------------------  -------------------  --------------------------------------------------
  3     1             20:ccccccc                                                                                     2022-02-20 10:31:25  2022-02-20 17:27:17  Xiaomi2

Das sieht soweit alles gut aus, falls Xiaomi2 das Telefon ist, welches du verwendest hast. Allerdings sind Telefone ggf. etwas ungeeignet zum Testen, weil sie teilweise hard-codierte DNS server benutzen.

Am Besten ist es, du probiert es mit einem richtigen PC aus, damit wir auch weiter auf Fehlersuche gehen können.

Nein. Gravity update lädt alle Adlisten neu herunter. (Und führte einen Neustart nur durch, falls FTL vorher offline war).

Brauchst du nicht machen, das geschieht nach jeder Änderung am Group Management automatisch.

11

Danke fürs Anschauen!
Also gestern hatte ich die Regel für Xiaomi2 (mein Telefon, Android) drin gelassen und abends dann gesehen, dass die WLAN-Verbindung scheinbar eingeschränkt war, ich las: Verbunden, kein Internet.
Aber ich konnte alle Seiten aufrufen, nicht nur die Kinderseiten. Anscheinend gab es schon eine Einschränkung (wg. Verbunden, kein Internet), aber welche habe ich nicht raus gefunden. Als ich die Regel fürs Xiaomi2 wieder entfernt hatte und das Telefon neu gestartet, war das "kein Internet" wieder weg.

Am PC (MacBook mit OS 10.11) hatte ich es ja zuvor ebenso erfolglos probiert.
Ich werde es heute nachmittag noch mal testen an einem anderen PC (Windows 10)...

Aber generell funktioniert pi-hole durchaus, die Sperre für listonic.de zB funktioniert bestens :wink:

12

Dann hat dein Handy im Hintergrund evt die mobilen Daten verwendet. Probiere es einfach nochmal aus, diesmal aber mit ausgeschalteten mobilen Daten.

1 Like
13

Leider ändert das nichts.
Habe die Mobile Daten ausgeschaltet, die Regel fürs Xiaomi2 eingeschaltet, geht aber noch alles durch.
Im Log steht aber sonderbarerweise unmittelbar nach einem Webseitenaufruf:

2022-02-21 09:07:18 	A	resolver.msg.global.xiaomi.net	Xiaomi2.fritz.box	Blocked (regex blacklist)	
2022-02-21 09:07:18 	A	fr.app.chat.global.xiaomi.net	Xiaomi2.fritz.box	Blocked (regex blacklist)

und sonst nichts! Da scheint die Regeln schon zu greifen, aber dh. dann wohl, das Xiaomi2 kriegt seine DNS Anfragen tatsächlich von wo anders her aufgelöst.

Jetzt habe ich eine Weile das Log beobachtet und mit den Regeln gespielt (an/aus) und stelle fest, dass viele Anfragen ja von der FritzBox selbst kommen.
Ich habe (wie in der Anleitung zu lesen) die Fritzbox für alle Geräte als DNS (192.168.0.1) eingetragen und in der Fritzbox dann den DNS auf den Rasp (192.168.0.160) gestellt, wo Pi-hole drauf lauft.
Dann habe ich mir diese Anleitung noch mal genauer angeschaut und habe unter Caveats die Ursache meines Problems wohl entdeckt:

Per-host tracking on Pi-hole (i.e. logging of DNS requests tied to individual machines by their respective hostnames) will be unavailable ...

Dann ist es ja klar. Weiter steht dann:

... unless you use the hosts file on Pi-hole (all requests will show as originating from the router itself).

Also habe ich in die /etc/hosts vom Rasp zusätzlich eintragen:

192.168.0.110 Xiaomi2

Ich verstehe zwar nicht, wie ein Zusammenhang zwischen der Angabe in hosts (dem Namen, zB. Xiaomi2) und der MAC-Adresse in den Clients stattfinden soll, über "Comments" wird es ja wohl kaum sein. In der Clients Liste stehen ja nicht die IPs sondern MAC-Adressen.
Aber auch das ändert nichts. Xiaomi2 taucht gar nicht auf im Log. EDIT: hatte keinen Reboot gemacht.

Da ich aber in Handys und Tablets (Android) gar keinen DNS eintragen kann, wird es wohl auch nicht funktionieren dort.
Es irritiert mich allerdings, dass im Log ein Android-Tablet im lokalen Netz mit seiner IP auftaucht (192.168.0.32), das auch über die Fritzbox DNS bekommen müsste. Zudem habe ich in den Clients dieses Tablet benannt.

Der Eintrag in /etc/hosts für Xiaomi2 mit Rasp Neustart hatte jedenfalls auch nichts gebracht, es werden immer noch alle Seiten gefunden, obwohl einige Blacklist Einträge dazu im Log auftauchen. Kriegt seine DNS Anfragen wohl irgendwo anders beantwortet.
Ich gebe es für das Xiaomi2 jetzt auf und probiere es noch mal auf dem MacBook, dort kann ich auch manuell einen DNS Server eintragen.
Aber wenn ich für jedes einzuschränkende Gerät erst einen Eintrag in der hosts erstellen muss mit Neustart des Rasps wird es umständlicher als gedacht.

EDIT: also auf dem MacBook funktioniert es, nachdem ich DNS auf den Rasp gestellt hatte und ihn in die hosts eingetragen hatte (mit Rasp Reboot) :smile:
Der Mac hat allerdings allerhand DNS-Anfragen in seinem Cache gespeichert, um die Regel zu testen, muss ich eine ihm unbekannte Seite nehmen.

14

Ich bin jetzt weg von der Kinderseiten Filterung durch Pi-hole, das war mir zu unzuverlässig und auch zu hakelig.
Ich probiere es jetzt mit Privoxy, den ich nun auch auf dem Rasp installiert habe.
Einen Proxy kann man sogar auf Android in den Netzwerkeinstellungen der WLAN Verbindung einstellen.
Natürlich kann man den auch wieder raus hauen, aber wenn die Kinder mal so weit sind, dass sie sich mit den Einstellungen so auskennen, dann bringt ein DNS Filter erst recht nichts mehr :wink:

15

Alles klar. Dann hoffe ich, dass du mit Privoxy eine für dich passende Lösung gefunden hast.
Falls du Pi-hole nochmal eine Chance geben willst: wir haben auch eine Anleitung genau für die FritzBox (die auch nicht schon 5 Jahre alt ist :wink:

https://docs.pi-hole.net/routers/fritzbox-de/

1 Like
16

Tatsächlich habe ich in der Fritzbox als DNS sowohl für DHCP als auch für die Fritzbox selbst den Pi-hole eingetragen. D.h. die Box kriegt ihr DNS vom Rasp und gibt die DNS Adresse des Rasp auch an die DHCP Clients weiter.
Allerdings scheinen die sich nicht unbedingt alle dran zu halten und fragen oft die Box direkt für DNS. Anders sind die vielen Anfragen von fritz.box im Pi-hole Log für mich nicht zu erklären.

17

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.