Pi-hole schützt zuverlässig auf DNS-Ebene. Moderne Inhalte wie serverseitige YouTube-Werbung oder verschlüsselte Tracker umgehen diesen Schutz. Ich schlage vor, Pi-hole um ein optionales, lokal laufendes TLS-Proxy-Modul mit Inhaltsanalyse zu erweitern.
Zielsetzung:
– Pi-hole und ein TLS-Proxy laufen auf demselben Gerät
– HTTP/HTTPS-Verkehr wird lokal umgeleitet (z. B. auf localhost:8443)
– Optional: TLS-Session-Keys vom Client übergeben (z. B. SSLKEYLOGFILE), um verschlüsselten Verkehr zu analysieren
– Kein zusätzlicher Server oder externe Tools notwendig
Vorgeschlagene Funktionen:
– Lokales TLS-Proxy-Modul (z. B. mitmproxy) auf localhost
– iptables-Weiterleitung von Port 443 zum Proxy
– Erweiterbare Inhaltsfilter über Plugin-API (z. B. Werbung, Tracker, NSFW)
– Unterstützung für TLS-Key-Logging durch kooperierende Clients
– Integration in Admin-Oberfläche (aktivieren/deaktivieren, Logs, Plugin-Status)
– Modular, standardmäßig deaktiviert, keine Einschränkungen bei Nichtverwendung
Warum sinnvoll:
– DNS-Blocking reicht gegen viele moderne Werbeformen nicht mehr
– TLS-Proxy ermöglicht tiefere Kontrolle und Sichtbarkeit im Heimnetz
– Technisch realisierbar mit bestehender Open-Source-Software
– Ideal für Nutzer, die Geräte ihrer Kinder oder Gäste absichern wollen
Machbarkeit:
– iptables-Redirects auf localhost sind erprobt
– mitmproxy funktioniert mit Root-CA oder Session-Keys
– UI-Erweiterung analog zur DHCP-Konfiguration denkbar
– Plugin-Schnittstelle kann vorhandene Pi-hole-Blocklogik nutzen
Zusammenfassung:
Diese Erweiterung macht Pi-hole zukunftsfähig für verschlüsselten Datenverkehr. Sie ist optional, realistisch umsetzbar und bietet tiefgreifendere Kontrolle bei gleichzeitiger Wahrung der bestehenden DNS-Funktionalität.