Dopo aver seguito la precedente guida sull’installazione e la configurazione del nostro Raspberry pi per l’uso di Pi-Hole, ora è necessario effettuare la configurazione e la personalizzazione.
Per facilitare la lettura ho suddiviso quest’articolo in sezioni, indicando i relativi riferimenti, è quindi possibile cliccare sul link desiderato, per essere trasportati direttamente all’argomento scelto:
- Abilitiamo il DNSSEC
- Desideri maggiore privacy e sicurezza: Guida all’installazione di Unbound e relativa configurazione
- Groups – Creazione dei Gruppi
- Adlist – come inserire le blacklist
- Elenco Blacklist (Prefazione, Ringraziamenti e FAQ)
- 1 – Liste da aggiungere per il bloccare siti web/server malevoli UPDATE 14/11/2024
- 2 – Liste per il blocco delle pubblicità
- 3 – Liste da aggiungere per il blocco di Tracking/Telemetria
- 4 – Liste per tracking/telemetria server Microsoft (Windows/Office/etc.)
- 5 – Liste che effettuano un blocco multiplo (pubblicità, tracking, malware, anti-adblock, etc)
- 6 – Liste da usare/aggiungere se si possiede una smart tv
- 7 – Liste per bloccare programmi e script mining
- 8 – Liste Parental Control – Filtro Famiglia
- 9 – Liste per utenti esperti
- Associare una specifica blacklist un gruppo
- Come disattivare una lista o eliminarla
- Aggiornamento Manuale Pihole (da effettuare dopo la prima configurazione o dopo aver inserito/eliminato una blacklist)
- Impostiamo l’aggiornamento automatico e giornaliero delle blacklist
- Regex – Blacklist
- Whitelist – cosa sono e a cosa servono
- 2– Guida Installazione whitelist tramite il mio script (bubusan80) – un solo comando da effettuare, oppure in base al servizio/sito web che si vuole abilitare
- Clients – Associare un gruppo specifico a un dispositivo
- Riscontrate problemi di navigazione e o blocchi ?
- Come aggiornare il software del Pihole
- Statistiche personali dopo l’uso di pi-hole
Abilitiamo il DNSSEC
Apriamo il browser che usiamo di solito (Firefox, Chrome, Safari, etc) e inseriamo l’indirizzo ip che ci è stato fornito durante l’installazione sul raspberry, pc o macchina dove avete installato il pihole (solo a titolo di esempio http://192.168.1.10/login), ed effettuiamo il login inserendo la password. Ora la prima cosa da fare è cambiare le impostazioni DNS, obbligando Pi-hole ad interrogare il servizio dns pubblico scelto precedentemente tramite il servizio DNSSEC (spiegazione su Wikipedia https://it.wikipedia.org/wiki/DNSSEC). Per farlo clicchiamo dal menu a sinistra la voce setting, come in figura sottostante:
Ora dal menu in alto clicchiamo su DNS:
In modo da trovarci nella seguente schermata:
Ora scendiamo fino a trovare la voce DNSSEC e abilitiamola, mettendo il visto come nello screenshot sottostante e premiamo save (ho evidenziato le due voci nell’immagine):
Riceverete una notifica come quella in basso, che vi segnala il salvataggio delle impostazioni, tale notifica scomparirà automaticamente dopo pochi secondi.
Nota: queste notifiche compariranno ogni volta che andremo ad effettuare modifiche sulle opzioni di pihole, per velocizzare la velocità di caricamento della pagina e di lettura dell’articolo, non vi riporterò tali immagini.
Creazione dei Gruppi
Il menu del Pihole Groups, ci permetterà di creare i gruppi, questi possono essere associati a specifiche blacklist e anche a specifici dispositivi (Pc, Smartphone, Tablet/Ipad, Smart Tv, etc.) che sono connessi in Lan o in Wi-Fi. Questo passaggio è fondamentale perché ci permette di creare una rete con filtri personalizzati, permettendo di abilitare determinati filtri su un determinato dispositivo (ad esempio è possibile abilitare il filtro famiglia solo ai nostri bambini che usano il tablet) o addirittura permettere a un dispositivo di non aver associato nessun filtro/blocco.
La creazione dei gruppi e la personalizzazione della relativa associazione dei filtri è veramente utile, per indagare in caso di problemi di navigazione causata da blacklist inserite impropriamente (non prese da questo sito web) o da un aggiornamento (delle blacklist), che possono bloccare un servizio o un sito web da noi utilizzato.
Il funzionamento di base del pihole associa:
- a ogni lista di filtri il gruppo di Default
- a ogni dispositivo (Pc, Smartphone, Smart tv, etc), il gruppo Default
Apriamo il browser che usiamo di solito (Firefox, Chrome, Safari, etc) e inseriamo l’indirizzo ip che ci è stato fornito durante l’installazione del pihole (sul raspberry o pc o macchina virtuale, etc), ed effettuiamo il login. La prima cosa da fare sarà creare dei gruppi con un nome e una relativa descrizione, per farlo rechiamoci quindi su Groups , come nell’immagine sottostante:
Per creare un gruppo inseriamo un nome nel campo name e una descrizione nel campo Description e poi premiamo il tasto Add, come nell’immagine sottostante:
Io vi propongo di creare questi gruppi (nel campo description potete inserire lo stesso valore oppure lasciare vuoto):
- 0_Nessun_filtro_applicato
- Test
- Pubblicità
- Tracking_Tracciamento
- Microsoft
- Microsoft_blocco_totale
- Blocco_multiplo_tracking_e_pubblicità
- Smart_tv
- Samsung_tv_e_cellulare_traking
- Webminer_e_Coin
- Filtri_per_utenti_esperti_opzionali
- Parental_Control
- Ho poi aggiunto una nota nella descrizione del gruppo Default, aggiungendo il testo: “- Solo Malware”, come nell’immagine sottostante:
Si segnala inoltre che:
- Ogni gruppo creato può essere disabilitato e riabilitato in ogni momento.
- Ogni gruppo creato può essere eliminato (Nota: le liste associate non verranno cancellate).
- La rinomina dei gruppi e la loro descrizione , può essere effettuata senza creare problemi e in qualsiasi momento.
Adlist -> Adlist group management
Come si può dedurre dal nome “Adlist group management”, rappresenta un gruppo di liste (di siti web/domini/ip) che permettono il blocco di banner pubblicitari o software/script che possono danneggiare il tuo browser o il tuo dispositivo come: Pc, Smartphone etc. (tali script e software vengono rappresentati da: malware, spyware, ranswomware, cryptoware, cryptominer, ecc.).
Apriamo il browser che usiamo di solito (Firefox, Chrome, Safari, etc) e inseriamo l’indirizzo ip che ci è stato fornito durante l’installazione sul raspberry (pc o macchina dove avete installato il pihole), ed effettuiamo il login; Ora, cliccare su Adlist come nello screenshot sottostante:
Per inserire una lista, bisognerà aggiungere il link (della lista) nel campo Address e aggiungere un Commento nel campo Comment (il commento non è obbligatorio, potete anche lasciare il campo vuoto).
Ad esempio inseriremo nel campo Address: https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
e nel campo Comment adblock-nocoin
e poi confermiamo con il tasto Add come nello screenshot sottostante:
Premuto Add avremo la notifica di colore verde di avvenuto inserimento, come nello screenshot sottostante:
Questo è l’elenco delle blacklist da me utilizzate, suddivise per argomento/blocco e che vi propongo di impiegare.
Prima di proporvi un nuovo elenco, vi informo che ho attentamente verificato la provenienza e testato la navigazione. Se si riscontrano problemi, vi prego di seguire la guida “completamente” e di lasciare un commento (alla fine della pagina). Farò del mio meglio per rispondere e assistervi in tempi brevi.
Vorrei inoltre, esprimere la mia gratitudine a tutti gli autori che mantengono attive queste blacklist e ci aiutano a proteggerci dalle minacce presenti sulla rete. Continuerò a monitorare e se necessario, a rivedere queste liste per garantirne l’efficacia.
FAQ (in continua evoluzione)
Come mai è presente un elenco cosi’ grande, con un blocco che raggiunge milioni di server/domini bloccati?
La mia prima priorità è cercare di dare sicurezza e privacy all’utente che naviga su internet; per questo motivo sono presenti molti elenchi che bloccano siti malevoli, per evitare che qualsiasi dispositivo (pc/smartphone/tablet etc.) si infetti. Gli hacker di tutto il mondo hanno aumentato in modo esponenziale gli attacchi e non solo ad aziende o infrastrutture statali, ma anche a singole persone per guadagnare denaro per i loro scopi (sia personali, sia di appartenenza a uno stato, sia per il loro ideale di qualsiasi natura esso sia) è importante anche segnalare che questo è dovuto a due eventi in particolare l’emergenza del covid-19 e la guerra in Ucraina.
Usufruendo del pihole e di queste liste, posso evitare di installare e usare un software antivirus e il firewall?
Sicuramente avrete una maggior sicurezza sulla vostra rete casalinga, ma la risposta è: NO!. E’ necessario continuare ad utilizzare sia un software antivirus sia il firewall (software o hardware che sia).
1) Liste da aggiungere per il bloccare siti web/server malevoli
Queste liste comprendono i siti web che effettuano phising, scam (come ad esempio siti web contraffatti/di truffa), oppure che contengono: malware, ransomware, virus o ancora IP di malintenzionati/hacker, e per finire siti di Referrer spam.
Nota: queste liste non bloccano la pubblicità e/o tracker, non causano “blocchi anomali” durante la navigazione o il durante gioco online e sono utili per tutti i dispositivi come : Pc, Console (Nintendo Switch, Playstation, Xbox), Smartphone, Smart Tv, etc. Consiglio di tenerle sempre attive per qualsiasi dispositivo e quindi lasciarle impostaste nel gruppo di default.
- https://blocklistproject.github.io/Lists/ransomware.txt
- https://phishing.army/download/phishing_army_blocklist_extended.txt
- https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Alternate%20versions%20Anti-Malware%20List/AntiMalwareDomains.txt
- https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
- https://v.firebog.net/hosts/Prigent-Crypto.txt
- https://raw.githubusercontent.com/migueldemoura/ublock-umatrix-rulesets/master/Hosts/malware
- https://blocklistproject.github.io/Lists/scam.txt
- https://www.blocklist.de/downloads/export-ips_all.txt
- Nota: blocco degli ip che hanno o stanno attaccando i server, utile per difendersi anche per il traffico in entrata o se stiamo usando programmi p2p tipo: torrent, emule, ecc.
- https://raw.githubusercontent.com/Ultimate-Hosts-Blacklist/MalwareDomainList.com/master/domains.list
- https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
- https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt
- https://raw.githubusercontent.com/PolishFiltersTeam/KADhosts/master/KADhosts.txt
- https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt
- https://raw.githubusercontent.com/r-a-y/mobile-hosts/master/AdguardMobileSpyware.txt
- https://raw.githubusercontent.com/mitchellkrogza/The-Big-List-of-Hacked-Malware-Web-Sites/master/hacked-domains.list
- https://urlhaus.abuse.ch/downloads/hostfile/
- https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Risk/hosts
- https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt
- https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/kad_host.txt
- https://blocklistproject.github.io/Lists/phishing.txt
- https://blocklistproject.github.io/Lists/fraud.txt
- https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.Spam/hosts
- https://gitlab.com/gerowen/old-malware-domains-ad-list/-/raw/master/malwaredomainslist.txt
- https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level2.netset
- https://raw.githubusercontent.com/scafroglia93/blocklists/master/blocklists-malware-traffic.txt
- https://raw.githubusercontent.com/infinitytec/blocklists/master/scams-and-phishing.txt
- https://raw.githubusercontent.com/durablenapkin/scamblocklist/master/hosts.txt
- https://v.firebog.net/hosts/static/w3kbl.txt
- https://raw.githubusercontent.com/XionKzn/PiHole-Lists/master/PiHole/Archive/Cerber_Ransomware.txt
- https://raw.githubusercontent.com/XionKzn/PiHole-Lists/master/PiHole/PiHole_HOSTS_Spyware_HOSTS.txt
- https://raw.githubusercontent.com/DRSDavidSoft/additional-hosts/master/domains/blacklist/fake-domains.txt
- http://blacklists.ntop.org/blacklist-hostnames.txt
- https://raw.githubusercontent.com/stamparm/blackbook/master/blackbook.txt
- https://raw.githubusercontent.com/stamparm/aux/master/maltrail-malware-domains.txt
- http://blacklists.ntop.org/blacklist-ip.txt
- https://bl.isx.fr/raw
- https://raw.githubusercontent.com/blocklistproject/Lists/master/malware.txt
- https://www.botvrij.eu/data/ioclist.hostname.raw
- https://cinsscore.com/list/ci-badguys.txt – Dopo vari giorni di test risulta funzionante e quindi viene ripristinata
- https://danger.rulez.sk/projects/bruteforceblocker/blist.php
- https://raw.githubusercontent.com/gnxsecurity/gnx-threat-intelligence/master/latest-blacklist.raw
- https://blocklist.greensnow.co/greensnow.txt
- https://raw.githubusercontent.com/matomo-org/referrer-spam-blacklist/master/spammers.txt
- https://malware-filter.gitlab.io/malware-filter/urlhaus-filter-domains.txt (in caso di problemi usare il link mirror https://curbengh.github.io/urlhaus-filter/urlhaus-filter-domains.txt)
- https://malware-filter.gitlab.io/malware-filter/phishing-filter-domains.txt (in caso di problemi usare il link mirror https://curbengh.github.io/phishing-filter/phishing-filter-domains.txt)
- https://raw.githubusercontent.com/olbat/ut1-blacklists/master/blacklists/malware/domains
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/malware
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/crypto
- https://raw.githubusercontent.com/iam-py-test/my_filters_001/main/Alternative%20list%20formats/antimalware_domains.txt
- https://raw.githubusercontent.com/scafroglia93/blocklists/master/blocklists-main.txt
- https://hole.cert.pl/domains/domains.txt
- https://raw.githubusercontent.com/TheAntiSocialEngineer/AntiSocial-BlockList-UK-Community/main/UK-Community.txt
- https://raw.githubusercontent.com/Te-k/stalkerware-indicators/master/generated/hosts
- https://v.firebog.net/hosts/Prigent-Malware.txt
- https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
- https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/tif.txt
- https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/hosts
- https://raw.githubusercontent.com/elliotwutingfeng/Inversion-DNSBL-Blocklists/main/Google_hostnames.txt
- https://raw.githubusercontent.com/no-cmyk/Search-Engine-Spam-Domains-Blocklist/master/blocklist.txt
- http://www.taz.net.au/Mail/SpamDomains
- https://raw.githubusercontent.com/Th3M3/blocklists/master/malware.list
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/spam.mails
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/notserious
- Nota: Questa lista blocca negozi falsi e altri tipi di fregature.
- https://gitlab.com/intr0/iVOID.GitLab.io/raw/master/iVOID.hosts
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Phishing-Angriffe
- https://raw.githubusercontent.com/AdroitAdorKhan/antipopads-re/master/formats/domains.txt
- Nota: Questa lista blocca i pop-up malevoli che si aprono automaticamente (spesso sono creati in java script e riescono ad eludere anche il blocco presente sul browser).
- https://raw.githubusercontent.com/durablenapkin/scamblocklist/master/hosts.txt
- https://raw.githubusercontent.com/soteria-nou/domain-list/master/fake.txt
- https://raw.githubusercontent.com/mitchellkrogza/phishing/main/add-domain
- https://malware-filter.gitlab.io/malware-filter/vn-badsite-filter-domains.txt
- https://raw.githubusercontent.com/desbma/referer-spam-domains-blacklist/master/spammers.txt
- https://raw.githubusercontent.com/scafroglia93/blocklists/master/blocklists-eset.txt
- https://raw.githubusercontent.com/scafroglia93/blocklists/master/blocklists-microsoft.txt
- https://raw.githubusercontent.com/DevSpen/scam-links/master/src/links.txt
- https://raw.githubusercontent.com/stonecrusher/filterlists-pihole/master/watchlist-internet-ph.txt
- https://raw.githubusercontent.com/bongochong/CombinedPrivacyBlockLists/master/NoFormatting/cpbl-ctld.txt
- https://zonefiles.io/f/compromised/domains/live/
- https://github.com/jarelllama/Scam-Blocklist/blob/main/lists/wildcard_domains/scams.txt
- https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-domains-ACTIVE.txt
- https://azorult-tracker.net/api/list/domain?format=plain
- 14/11/2024 AGGIUNGERE https://hosts.tweedge.net/malicious.txt (viene reinserito in quanto alcuni domini contenenti malware non risultano presenti sui vari aggregatori)
- 14/11/2024 RI-AGGIUNGERE http://phishing.mailscanner.info/phishing.bad.sites.conf (Torna on-line e funzionante in caso di malfunzionamento verrà eliminato nuovamente)
2) Liste per il blocco delle pubblicità
Queste liste effettuano il solo blocco delle pubblicità presenti sui siti web, nei programmi installati su pc e funzionano anche per le app installate su Smartphone.
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome Pubblicità.
- https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
- https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
- https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
- https://v.firebog.net/hosts/Admiral.txt
- https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
- https://raw.githubusercontent.com/bigdargon/hostsVN/master/hosts
- https://raw.githubusercontent.com/r-a-y/mobile-hosts/master/AdguardMobileAds.txt
- https://raw.githubusercontent.com/d43m0nhLInt3r/socialblocklists/master/MobileAppAds/appadsblocklist.txt
- https://winhelp2002.mvps.org/hosts.txt
- https://raw.githubusercontent.com/kboghdady/youTube_ads_4_pi-hole/master/youtubelist.txt
- https://blocklistproject.github.io/Lists/youtube.txt
- https://blocklistproject.github.io/Lists/ads.txt
- https://www.sunshine.it/blacklist.txt
- https://adaway.org/hosts.txt
- https://v.firebog.net/hosts/AdguardDNS.txt
- https://raw.githubusercontent.com/soteria-nou/domain-list/master/ads.txt
- https://www.technoy.de/lists/blocklist.txt
3) Liste da aggiungere per il blocco di Tracking/Telemetria
Queste liste evitano il tracciamento utente, la profilazione e la telemetria anche per programmi e app installate su Cellulare/Smartphone.
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome Tracking_Telemetria.
- https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.2o7Net/hosts
- https://v.firebog.net/hosts/Easyprivacy.txt
- https://v.firebog.net/hosts/Prigent-Ads.txt
- https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
- https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt
- https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/light.txt
- https://www.github.developerdan.com/hosts/lists/amp-hosts-extended.txt
- https://blocklistproject.github.io/Lists/tracking.txt
- https://www.github.developerdan.com/hosts/lists/tracking-aggressive-extended.txt
- !Attenzione!: Questa è una lista aggressiva e serve a bloccare il tracciamento e targeting geografico, potrebbe bloccare qualche funzionalità di qualche sito web o servizio, si prega quindi di non usarla, se non si è disposti a esaminare i domini bloccati nella scheda query log e inserirli nella propria whitelist.
4) Liste per tracking/telemetria server Microsoft (Windows/Office/etc.)
Ho deciso di creare questa “nuova” sezione, dedicata al mondo “Microsoft” in modo che sia ben visibile ai lettori e possano scegliere liberamente se avvalersene o meno. Si segnala che esistono valide alternative a Microsoft, per esempio invece di usare il pacchetto Microsoft Office a pagamento, è possibile usufruire di prodotti completamente free ed open source, come ad esempio: LibreOffice, OpenOffice, etc.
Si segnala che tutte queste liste sono valide sia per Pc (Windows, Linux, Mac) che per cellulare/smartphone (Android e Apple Iphone) e possono effettuare il blocco di:
- Login sul web che sfruttano i servizi Microsoft (email, azure, Microsoft office sul web, etc.).
- Applicazioni del sistema operativo Windows.
- Pacchetto Microsoft Office qualsiasi versione (su PC, Mac, Cellulare Android e Apple Iphone).
- Servizi e Aggiornamenti dei prodotti di Microsoft (sia del sistema operativo che del pacchetto Office quindi su PC, Android, Apple Iphone e Mac).
PARTE 1 – Liste per blocco tracking e telemetria Microsoft:
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome: Microsoft.
- https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt Versione ipv6: https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy_v6.txt
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Win10Telemetry
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/MS-Office-Telemetry
- https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/native.winoffice.txt
PARTE 2 – Liste per blocco server/siti web di Microsoft e relativi update (aggiornamenti) del sistema operativo Windows, Microsoft Office etc., sono consigliati alla sola utenza esperta:
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome: Microsoft_blocco_totale
Se volete usufruire dei servizi Microsoft più in basso sono presenti vari (non tutti) server/domini da inserire nella whitelist, quindi se siete alle prime armi con il pihole vi sconsiglio di inserire tali liste, bisogna aver appreso un pò d’informazioni ed esperienza, per esaminare il traffico, guardando la scheda Query Log sul pihole e inserire in whitelist i domini e i servizi dove riscontrare anomalie.
- – !Attenzione! – Da inserire se si vogliono bloccare gli update di Microsoft (windows/office): https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/update.txt Versione ipv6: https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/update_v6.txt
- – !Attenzione! – Questi filtri bloccano completamente i seguenti servizi e le applicazioni di Microsoft come ad esempio Skype, Bing, Live, Outlook, NCSI, Microsoft Office…, sia su pc, che su cellulare, compreso il sito web outlook.live.com (per leggere le email, esempio indirizzi: xxx@hotmail.it/.com xxx@outlook.it/.com):
- https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/extra.txt – Versione ipv6: https://github.com/crazy-max/WindowsSpyBlocker/blob/master/data/hosts/extra_v6.txt
- !Attenzione! – Questa lista effettua il blocco (anche non Microsoft) di: Bing, Outlook, Office, Edge, Skype, Xbox, Microsoft.com, Windows Update, Defender Update, Azure, OneDrive, Spotify, TikTok, Clipchamp, Disney+ , Facebook, Linkedin e infine blocca i server della Telemetria sia del pacchetto Microsoft Office sia che del sistema operativo Windows 10 e Windows 11:
- https://raw.githubusercontent.com/schrebra/Windows.10.DNS.Block.List/main/hosts.txt
5) Liste che effettuano un blocco multiplo (pubblicità, tracking, malware, telemetria, evitano anti-adblock su alcuni siti web, etc)
Queste liste effettuano un lavoro a più fattori, quindi un blocco multiplo bloccando: pubblicità, tracking, malware, telemetria, evitano anti-adblock su alcuni siti web, etc.
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome Blocco_multiplo_tracking_e_pubblicità
- https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/hostfile.txt
- https://raw.githubusercontent.com/neodevpro/neodevhost/master/host
- https://big.oisd.nl/
- https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
- https://www.github.developerdan.com/hosts/lists/ads-and-tracking-extended.txt
- https://v.firebog.net/hosts/Easylist.txt
- https://someonewhocares.org/hosts/zero/hosts
- https://ceadd.ca/blockyoux.txt
- https://hblock.molinero.dev/hosts
- https://raw.githubusercontent.com/jerryn70/GoodbyeAds/master/Hosts/GoodbyeAds.txt
- https://raw.githubusercontent.com/RooneyMcNibNug/pihole-stuff/master/SNAFU.txt
- https://sebsauvage.net/hosts/hosts
- https://raw.githubusercontent.com/notracking/hosts-blocklists/master/hostnames.txt
- https://raw.githubusercontent.com/lassekongo83/Frellwits-filter-lists/master/Frellwits-Swedish-Hosts-File.txt
- https://raw.githubusercontent.com/bongochong/CombinedPrivacyBlockLists/master/newhosts-final.hosts
- https://raw.githubusercontent.com/infinitytec/blocklists/master/ads-and-trackers.txt
- https://www.technoy.de/lists/Suspicious.txt
- https://www.technoy.de/lists/fake-streaming.txt
6) Liste da usare/aggiungere se si possiede: una Smart Tv, oppure una Firestick, oppure un box Android per la TV
Tali liste effettuano un blocco sulla pubblicità e bloccano il tracciamento, telemetria e profilazione effettuata dai produttori delle smart tv
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome Smart_Tv.
- https://blocklistproject.github.io/Lists/smart-tv.txt
- https://raw.githubusercontent.com/d43m0nhLInt3r/socialblocklists/master/SmartTV/smarttvblocklist.txt
- https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt
- https://blocklistproject.github.io/Lists/basic.txt
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/samsung
- https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt
- https://gist.githubusercontent.com/eterps/9ddb13a118a21a7d9c12c6165e0bbff5/raw/0ba4b04802a4b478d7777fb7abe76c8eac0c5bfc/Samsung%2520Smart-TV%2520Blocklist%2520Adlist%2520(for%2520PiHole)
- https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/AmazonFireTV.txt
7) Liste per bloccare programmi e script mining (che possono attaccare il browser: Firefox, Chrome, Opera, etc)
Tali liste effettuano un blocco sui programmi e script mining (di base sono script in linguaggio java che possono attaccare anche il browser) fanno guadagnare soldi agli hacker a scapito di risorse utilizzare in modo inappropriato sui nostri device (ad esempio: può capitare che il nostro pc abbia un uso anomalo e spropositato di processore e ram, causando un calo di prestazioni anche elevato, oltre che un consumo di elettricità più elevato).
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome: Webminer_e_Coin
- https://zerodot1.gitlab.io/CoinBlockerLists/hosts_browser
- https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
- https://raw.githubusercontent.com/anudeepND/blacklist/master/CoinMiner.txt
- https://raw.githubusercontent.com/austinheap/sophos-xg-block-lists/master/nocoin.txt
8) Liste Parental Control – Filtro Famiglia
Le liste Parental Control o Filro Famiglia, aiutano i genitori a nascondere le minaccie e i pericoli presenti sul web, proteggendo i bambini che risultano “ormai” sempre connessi alla rete. Facendone uso si evitano i siti web per: adulti(porno), giochi d’azzardo, droga, tutti i social (facebook, tiktok, twitter, instagram, skype, etc.) e anche i download illegali.
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome Parental_Control, Questo permette anche di aggregare il gruppo a uno o più determinati dispositivi (specifico tablet/smartphone/etc).
The Ultimate Hosts Blacklist – Filtro di blocco multiplo (social, porno, giochi d’azzardo, etc.):
- https://hosts.ubuntu101.co.za/domains.list
Blocco siti per adulti:
- https://raw.githubusercontent.com/mhhakim/pihole-blocklist/master/porn.txt
- https://raw.githubusercontent.com/chadmayfield/pihole-blocklists/master/lists/pi_blocklist_porn_top1m.list
- https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_all.list
- https://blocklistproject.github.io/Lists/porn.txt
- https://blocklistproject.github.io/Lists/abuse.txt
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock1
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock2
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock3
- https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/pornblock4
- https://v.firebog.net/hosts/Prigent-Adult.txt
- https://www.technoy.de/lists/xporn.txt
- https://nsfw.oisd.nl
Blocco siti che trattano gioco d’azzardo, droga e torrent:
- https://blocklistproject.github.io/Lists/gambling.txt
- https://blocklistproject.github.io/Lists/drugs.txt
- https://blocklistproject.github.io/Lists/torrent.txt
Blocco social (esempio: facebook, tiktok, twitter, instagram, skype, reddit etc.):
- https://blocklistproject.github.io/Lists/tiktok.txt
- https://raw.githubusercontent.com/infinitytec/blocklists/master/tiktok.txt
- https://blocklistproject.github.io/Lists/facebook.txt
- https://raw.githubusercontent.com/anudeepND/blacklist/master/facebook.txt
- https://github.com/d43m0nhLInt3r/socialblocklists/blob/master/Snapchat/snapchatblocklist.txt
- https://github.com/d43m0nhLInt3r/socialblocklists/blob/master/Skype/skypeblocklist.txt
- https://raw.githubusercontent.com/infinitytec/blocklists/master/reddit.txt
9) Liste per utenti esperti
Queste liste effettuano un blocco completo sul tracciamento utente, traffico analitico oltre a pubblicità e malware, e possono causare problemi di navigazione. Per poterle inserire, dovete saper gestire il pihole, esaminare il traffico, guardando la scheda Query Log e inserire in whitelist i domini che volete visitare e che risultano bloccati dai filtri, in modo da poter navigare sui siti web dove riscontrate problemi/anomalie.
Nota: consiglio di associare le liste dell’elenco che segue al gruppo con il nome: Filtri_per_utenti_esperti_opzionali.
- https://raw.githubusercontent.com/parseword/nolovia/master/skel/hosts-nolovia.txt
- !Attenzione!: Questo filtro blocca molte connessioni verso alcuni server che vengono usati per effettuare il login tramite Google/Facebook etc, quindi alcuni siti non funzionano, per risolvere è necessario intervenire sulle whitelist, se non lo sapete fare, non inseritelo.
- https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/multi.txt
- !Attenzione!: blocca tutti i siti e domini che effettuano tracciamento, anche di tipo analitico come ad esempio il dominio di adobe, questo provoca errori sul funzionamento delle applicazioni installate come Adobe Acrobat Reader/Writer, per risolvere è necessario intervenire sulle whitelist.
Associare una specifica blacklist a un gruppo
Importante: Potete procedere alla lettura, solo se avete seguito i seguenti sotto-sezioni: Creazione dei gruppi e Group management -> Adlist (come inserire le blacklist
Per spiegarvi come procedere effettuerò un esempio pratico:
Apriamo il browser che usiamo di solito (Firefox, Chrome, Safari, etc) e inseriamo l’indirizzo ip che ci è stato fornito durante l’installazione sul raspberry (pc o macchina dove avete installato il pihole), ed effettuiamo il login; Dal menu a destra, clicchiamo su Adlist (se non ci siete già), in modo da visualizzare tutte le liste inserite, come nell’immagine d’esempio in basso:
Se non vi risulta già presente nell’elenco,inserire la blacklist (filtro/lista): https://phishing.army/download/phishing_army_blocklist_extended.txt
Di base ogni lista inserita viene associata al gruppo di default, quindi ora per vediamo come associare tale blacklist a un specifico gruppo.
Per cambiare gruppo di associazione, dovremo cliccare sulla relativa riga Group assignment, dove appunto c’è scritto Default, apparirà un menù a cascata con la lista di tutti i gruppi che avrete creato in precedenza, come nell’immagine sottostante:
Ora per associare un gruppo diverso, dobbiamo effettuare queste due operazioni:
- La prima operazione sarà di cliccare sul nome del gruppo a cui vogliamo associare la lista https://phishing.army/download/phishing_army_blocklist_extended.txt, che si chiama test. Una volta cliccato sul nome test, vedremo apparire il simbolo del visto accanto, come nell’immagine:
Come potete notare ora la lista è associata a due gruppi : “Default” e “test”, ma il nostro intento è che sia associata al solo gruppo “test” , quindi procediamo in questo modo:
- La seconda operazione si svolge sempre nel menu a cascata, cliccare sul nome Default per dissociare la lista al gruppo, in modo che il simbolo del visto scompaia vicino al nome, come nell’immagine:
Ora clicchiamo su tasto Apply, in modo da applicare le modifiche effettuate; in alto a destra ci verrà notificato l’avvenuta modifica:
Ora la lista https://phishing.army/download/phishing_army_blocklist_extended.txt ha come gruppo assegnato test, come nell’immagine sottostante:
Con questa spiegazione e procedura, ora sapete come procedere in autonomia e associare le varie liste ai gruppi che avete creato in precedenza.
Si segnala che è possibile (in qualsiasi momento) disabilitare una singola lista/link (filtro) o tutte le liste presenti nel vostro elenco.
Per farlo, cliccare sulla voce Enabled in modo che diventi Disabled, come nello screenshot:
Nota: Mi raccomando ricordatevi di associare la lista https://phishing.army/download/phishing_army_blocklist_extended.txt al gruppo Default e toglierla dal gruppo test. (visto che sapete come fare non è necessario spiegare nuovamente il procedimento giusto?).
E’ possibile anche eliminarla definitivamente, cliccando sull’icona del cestino.
AGGIORNARE IL DATABASE DEL PIHOLE MANUALMENTE (da effettuare dopo la prima configurazione o dopo aver inserito/eliminato una blacklist)
Dopo aver inserito e/o eliminato e/o disabilitato una o più blacklist è necessario aggiornare il database del pihole, per farlo, dal menu a sinistra, clicchiamo su Tools e quindi su Update Gravity (la seconda voce):
Ci troveremo in questa schermata, clicchiamo su Update:
Nota: Aspettiamo che termini l’aggiornamento, mi raccomando di non chiudere la pagina o di cliccare su qualche voce del menu, o cambiare scheda, ma attendere con pazienza (qualche minuto), come ci viene comunicato:
Quando avrà terminato, avremo la conferma a video, con la dicitura: Success! ,come nello screenshot seguente:
Si segnala che oltre a ricevere la conferma è possibile esaminare anche il relativo riepilogo delle attività e dei filtri applicati e scaricati.
IMPOSTIAMO L’AGGIORNAMENTO AUTOMATICO E GIORNALIERO:
Quasi tutte le liste indicate precedentemente, vengono aggiornate ogni giorno dai rispettivi proprietari, Pi-Hole ha un sistema automatico di aggiornamento dei filtri, ma ciò avviene una volta a settimana; Per questo motivo bisogna effettuare una modifica, che fà in modo che il Pi-Hole esegui l’aggiornamento delle liste (filtri) ogni giorno. Con le modifiche che effettueremo, tale attività verrà eseguita in orario notturno alle ore 3.00 circa, tutti i giorni (questo per non creare rallentamenti e/o disservizi sui dispositivi che stiamo usando durante la giornata).
NOTA IMPORTANTE: Questa modifica deve essere effettuata ad ogni aggiornamento della versione software del pihole.
Per farlo, apriamo il terminal cliccando sull’icona in alto a sinistra:
Ricordiamoci di ingrandire la finestra e scriviamo:
sudo nano /etc/cron.d/pihole
come nell’immagine sottostante:
ora premiamo Enter (invio) comparirà la seguente schermata:
Ora muoviamoci con i tasti freccia fino a trovare con scritto:
Pi-hole: Update the ad sources once a week on Sunday at a random time in the
# early morning. Download any updates from the adlists
# Squash output to log, then splat the log to stdout on error to allow$
# standard crontab job error handling.
La riga da modificare è quella successiva con i caratteri bianchi tipo questa:
51 3 * * 7 root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updateGravity >/var/log/pihole/pihole_updateGravity.log || cat /var/log/pihole/pihole_updateGravity.log
Come nell’immagine sottostante:
Qui inserire il simbolo del cancelletto # a inizio riga in modo da renderla un commento (inutilizzabile) e di colore verde e scriviamo al seguente riga:
51 3 * * 0-6 root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updateGravity >/var/log/pihole/pihole_updateGravity.log || cat /var/log/pihole/pihole_updateGravity.log
Dopo la modifica dovreste avere una situazione simile a questa:
Ora Premiamo sulla tastiera il tasto “Ctrl” e il tasto “X” (in contemporanea, oppure tenendo premuto il tasto crtl e poi il tasto x) in modo che ci venga chiesto se salvare il buffer modificato come da screenshot sottostante:
Clicchiamo il tasto S sulla tastiera per confermare le modifiche effettuate, in modo che ci venga chiesto Nome del file in cui salvare: /etc/cro.d/pihole , come da screenshot sottostante:
Premiamo Enter (invio) e avremo effettuato la modifica.
Blacklist regex:
Le regole regex che ho scelto di installare e di farvi usufruire sono quelle dell’autore: “mmoti”, la pagina ufficiale per chi è interessato è questa: https://github.com/mmotti/pihole-regex , come nei casi precedenti, mi permetto di spiegarle con relativi screenshot, per rendere il tutto più semplice da effettuare.
Apriamo il terminal, per chi usa il raspberry colleghiamoci e, clicchiamo sull’icona in alto a sinistra:
Ora scriviamo:
curl -sSl https://raw.githubusercontent.com/mmotti/pihole-regex/master/install.py | sudo python3
Clicchiamo Enter (invio), se l’installazione è andata a buon fine avrete una situazione come nello screenshot seguente:
Ora verifichiamo che l’installazione sia andata a buon fine, visitando il pannello amministrativo del pihole, cliccando sul menu Domain (si ricorda che per raggiungere il pannello amministrativo dovete inserire l’indirizzo ip che è stato assegnato al vostro Raspberrypi, come nella guida https://www.navigaresenzapubblicita.org/progetto-pi-hole-il-dns-fatto-in-casa-per-proteggerci-da-domini-che-contengono-malware-spyware-ranswomware-cryptoware-cryptominer-e-bloccare-i-domini-siti-web-che-contengono-la-pubblicita)
In questo menu possiamo controllare i domini abilitati/disabilitati e anche le regole regex (installate). Per farlo è necessario disabilitare il visto per le voci Exact whitelist, Regex whitelist e Exact blacklist, come nell’immagine seguente:
In questo modo andremo a visualizzare le sole regole regex blacklist:
Di base queste regole verranno implementare nel gruppo default, quindi tutti i dispositivi connessi al pihole saranno sogetti a queste regole.
Visto che precedentemente in questa guida abbiamo creato i gruppi, in modo da poter assegnare liberamente a ogni dispositivo i relativi filtri, credo che sia opportuno farlo anche per queste regole. Per farlo basterà cambiare il gruppo a ogni regola inserita (come d’altronde viene fatto per le liste), propongo per comodità in questo caso, di associare tutte le regole al gruppo Blocco_Multiplo_tracking_e_pubblicità; e se non vi ricordate come si fà, vi rinfresco la memoria con un esempio che verrà effettuato solo sulla prima regola (per le successive basterà ripetere il procedimento) e dovremo effettuare queste operazioni:
Individuare la prima regola, cliccare sulla relativa riga assignment, dove appunto c’è scritto Default, apparirà un menù a cascata con la lista di tutti i gruppi che avrete creato in precedenza, come nell’immagine sottostante:
Ora cliccare sul nome del gruppo “Blocco_Multiplo_tracking_e_pubblicità”, una volta cliccato sul nome vedremo apparire il simbolo del visto accanto, come nell’immagine:
Come potete notare ora la regola è associata a due gruppi : “Default” e “Blocco_Multiplo_tracking_e_pubblicità”, ma il nostro intento è che sia associata al solo gruppo “Blocco_Multiplo_tracking_e_pubblicità”, quindi cliccare sul nome Default per dissociare la lista al gruppo, in modo che il simbolo del visto scompaia vicino al nome, come nell’immagine:
Clicchiamo su tasto Apply, in modo da applicare le modifiche effettuate; in alto a destra ci verrà notificato l’avvenuta modifica:
Si segnala inoltre che:
- E’ possibile in qualsiasi momento disabilitare le voci in elenco cliccando sulla voce Enabled in modo che diventi Disable o addirittura cancellarle.
- Nel menu Domain possiamo anche bloccare/disabilitare un sito web o un dominio, (Facciamo un esempio, mettiamo il caso che voglia disabilitare facebook, inserisco in Domain
facebook.com
in Comment: disabilitazione facebook
e premiamo il tasto Add to Blacklist, così facendo avremo disabilitato facebook a tutti i nostri device, si ricorda che ogni inserimento il gruppo di appartenenza è sempre defualt, sarà compito vostro assegnare un grupo diverso) oppure è possibile inserire una propria regola regex andando sull’apposita scheda RegEx filter.
WHITELIST:
La Whitelist, rappresenta una lista di domini e siti web che devono funzionare “sempre”.
Devono essere eseguite due operazioni principali:
- Installazione Whitelist anudeeND e
- Guida installazione whitelist tramite il mio script, ed elenco dei domini/server che verranno inseriti nella whitelist
Installazione whitelist anudeepND
La pagina ufficiale di questo progetto è questa: https://github.com/anudeepND/whitelist#installation.
Per rendere l’installazione semplice e facile da seguire, vi spiego i passaggi da effettuare con relativi screenshot.
Apriamo il terminal cliccando sull’icona in alto a sinistra:
Qui scriviamo:
sudo apt install python3
Poi clicchiamo Enter (invio) verrà installata la libreria pyton3 come nello screenshot seguente:
Ora scriviamo:
git clone https://github.com/anudeepND/whitelist.git
Poi clicchiamo Enter (invio), se tutto è andato bene avrete una situazione come nello screenshot seguente:
Ora scriviamo:
sudo python3 whitelist/scripts/whitelist.py
Ora clicchiamo Enter (invio), se tutto è andato bene avrete una situazione come nello screenshot seguente, dove si evince che l’installazione è andata bene, in quanto è presente la scritta: Done. Happy ad-blocking 🙂
Una volta terminate tutte le operazioni, potete chiudere la finestra premendo X in alto a sinistra.
Impostiamo l’aggiornamento automatico della whitelist anudeepND
Aprimo il terminal cliccando sull’icona in alto a sinistra:
Digitiamo il comando:
cd /opt/
come nello screenshot seguente:
Ad operazione eseguita, lanciamo il comando:
sudo git clone https://github.com/anudeepND/whitelist.git
come nello screenshot seguente:
Dopo di chè digitiamo:
sudo nano /etc/crontab
come nello screenshot seguente:
In questo modo, entreremo nell’editor di testo il nostro obbiettivo è aggiungere la seguente riga:
0 1 * * */7 root /opt/whitelist/scripts/whitelist.py
prima dell’ultima riga, contenente il testo # (per spostarsi usare i tasti freccia della tastiera), per capire come fare seguire l’immagine sottostante:
Ora Premiamo sulla tastiera il tasto “Ctrl” e il tasto “X” (in contemporanea, oppure tenendo premuto il tasto crtl e poi il tasto x) in modo che ci venga chiesto se salvare il file, clicchiamo il tasto Y sulla tastiera per confermare le modifiche effettuate.
Ora non ci resta che effettuare l’ultimo comando per aggiornare la lista istantaneamente:
sudo python3 whitelist/scripts/whitelist.py
Aspettiamo la risposta che ci indica che l’aggiornamento sia andato a buon fine come nello screenshot:
Una volta terminate tutte le operazioni, potete chiudere la finestra premendo X in alto a sinistra.
E’ possibile verificare che l’installazione sia andata a buon fine, visitando il pannello amministrativo, cliccando sul menu Domain (info: dopo l’aggiornamento v5.12, il menu Whitelist è stato incorporato in Domain, e il menu Group Managmenet è stato eliminato) :
Come potete notare, è possibile in qualsiasi momento disabilitare le voci in elenco cliccando su Enabled in modo che diventi Disable o addirittura cancellare una voce o più voci contemporaneamente; inoltre è possibile anche inserire un sito web o un dominio personalizzato in modo che sia sempre funzionante.(Facciamo un esempio e mettiamo il caso che vogliamo che sia sempre abilitato il sito amazon italia, inserisco in Domain amazon.it
in Comment: abilitazione amazon e premiamo il tasto Add to Whitelist.)
Guida installazione whitelist tramite il mio script
Su github ho pubblicato uno script da scaricare e usare direttamente nel terminal dove è installato il pihole e allo stesso tempo è presente l’elenco dei server e siti web (destinato a crescere nel tempo) che vengono inseriti nella whitelist (tale elenco viene redatto in base al servizio o al sito web). Tutto questo serve ad evitare falsi positivi o errori nelle blacklist sopra riportate.
Voglio inoltre precisare che:
- non ho ideato io lo script, ma ho modificato quello di gioxx presente qui.
- gli elenchi dei server e/o siti web sono stati creati principalmente con l’utilizzo del pihole sulla mia rete, inoltre, in alcuni casi i dati sono stati prelevati da fonti segnalate (come ad esempio per Disneyplus, che viene da OpenDns), o ancora da fonti di discussioni pubbliche e segnalazioni presenti su: https://www.reddit.com/r/pihole/ .
Si consiglia ovviamente l’uso di tale script per ovviare a problemi di navigazione, qui le relative pagine:
Devo ovviamente avvisarvi per motivi legali (non si sà mai che qualcuno mi denunci per danni) che non sono assolutamente responsabile di qualsiasi danno e/o problema hardware e/o software causato al vostro sistema (qualsiasi esso sia, solo come esempio: pc/server/raspberry). Il software viene fornito “così com’è”, senza garanzie di alcun tipo, espresse o implicite, incluse, ma non limitate a commerciabilità, idoneità per uno scopo particolare e non violazione. In nessun caso gli autori o i titolari del copyright saranno responsabili per qualsiasi reclamo, danno o altra responsabilità, sia in un’azione contrattuale, illecita o altro, derivante da o in relazione al software o all’utilizzo o altri rapporti nel software.
ISTRUZIONI
Per scaricare lo script è necessario effettuare questo comando:
wget -N https://raw.githubusercontent.com/bubusan80/whitelist_hosting_public/main/In_base_al_servizio/whitelist_singole_abilitazioni.sh
Una volta scaricato è necessario dare un comando per rendere il file eseguibile:
chmod u+x whitelist_singole_abilitazioni.sh
In base alle vostre personali esigenze e quindi al servizio/sito web è possibile scegliere il comando da lanciare.
Per conoscere tutte le opzioni lanciare il comando:
sudo ./whitelist_singole_abilitazioni.sh *
Questo mostrerà tutte le opzioni e quindi in pratica il testo da aggiungere dopo
sudo ./whitelist_singole_abilitazioni.sh
Ad esempio per abilitare il servizio/sito web host_video:
sudo ./whitelist_singole_abilitazioni.sh host_video
Volete effettuare tutte le abilitazioni ed effettuare un solo comando? Allora lanciare il comando:
sudo ./whitelist_singole_abilitazioni.sh All
Volete effettuare tutte le abilitazioni tranne i server di google effettuando un solo comando? Allora lanciare il comando:
sudo ./whitelist_singole_abilitazioni.sh All_no_google
AGGIORNAMENTO SCRIPT (07/10/2024)
Informazioni che riguardano solamente l’ultimo aggiornamento:
- Aggiornato il file Aliexpress_Alibaba.txt
- Aggiornato il file Abilitazioni_host_video.txt
IMPORTANTE: Quando effettuerò un aggiornamento, anche solo ad una lista, è necessario aggiornare lo script prima di lanciarlo, per farlo eseguire il comando:
sudo ./whitelist_singole_abilitazioni.sh upgrade
Dopo di chè, eseguire questo comando per rendere il file eseguibile:
chmod u+x whitelist_singole_abilitazioni.sh
Ora per effettuare tutte le abilitazioni e quindi applicare l’aggiornamento sul pihole fare il comando:
sudo ./whitelist_singole_abilitazioni.sh All
Segnalo ovviamente che è possibile effettuare tutte le abilitazioni, tranne i server di google, effettuando invece ques’altro comando:
sudo ./whitelist_singole_abilitazioni.sh All_no_google
CANCELLAZIONE COMPLETA DELLA WHITELIST (nel caso vorreste fare pulizia)
!!!!!!!Attenzione!!!!!! ad eseguire questo comando in quanto ripeto, effettuerà la cancellazione completa di tutta la whitelist ed è vostro compito effettuare un backup prima (lo script non effettua un backup):
sudo ./whitelist_singole_abilitazioni.sh clear
NOTA:
In caso di problemi durante la navigazione anche dopo aver applicato le whitelist, si consiglia di dare un’occhiata anche a questo tread:
https://discourse.pi-hole.net/t/commonly-whitelisted-domains/212,
in modo da poter abilitare servizi/domini/server che non ho inserito.
Vi chiedo nel caso riuscire a trovare una soluzione, di condividere la vostra esperienza, inserendo un commento in modo da aiutare anche altre persone.
Clients – Associare un gruppo a un dispositivo
Apriamo il browser che usiamo di solito (Firefox, Chrome, Safari, etc) e inseriamo l’indirizzo ip che ci è stato fornito durante l’installazione sul raspberry (pc, raspberry, server o macchina dove avete installato il pihole), ed effettuiamo il login; (info: si segnala che dopo l’aggiornamento del pihol versione v5.12, il menu Client è passato in primo piano, in quanto il menu Group Managmenet è stato eliminato). Per associare un gruppo o anche più gruppi a un dispositivo specifico, dobbiamo recarci sul menù a destra e cliccare su Clients, come nell’immagine sottostante:
Ora dal menu a tendina dove c’è scritto Known clients, troveremo tutta la lista dei dispositivi collegati al nostro modem/router – raspberry in lan o wifi. Nel mio caso ad esempio (segnalo che sono stati oscurati i mac andress e alcuni vendor name, per questioni di privacy e sicurezza):
Per identificare i dispositivi (oltre che conoscere il mac-andress o l’ip assegnato), potete aiutarvi con il nome del Vendor (esso viene visualizzato per i dispositivi di marche conosciute), ad esempio per il mio pc portatile Asus viene indicato il nome di ASUSTek COMPUTER INC e lo stesso per il mio Smartphone Android, dove addirittura viene indicato il modello: Galaxy-A8-2018.
Ora selezionato il client dal menu a tendina, inseriamo un commento a nostro piacimento, nell’apposito campo Comment, come nell’immagine sottostante e clicchiamo su Add:
Una volta fatto, il dispositivo comparirà nella lista in basso, come nello screenshot:
Vi ricordo che il pihole, associa a ogni dispositivo il gruppo default.
Ora non ci resta che scegliere i vari gruppi da associare, clicchiamo sulla scritta default, in modo che appaia il menù a cascata con la lista di tutti i gruppi presenti e creati precedentemente come nell’immagine sottostante:
Nel mio caso, oltre al gruppo di default (dove ho associato tutte le liste contenenti software malevoli, quindi malware, ransomware, phishing, etc.) ho cliccato anche sui gruppi Pubblicità (dove ho associato tutte le liste contenenti il blocco delle pubblicità, blocco multiplo e per gli Smart Tv), Traking/Tracciamento (dove ho associato tutte le liste di traking/tracciamento.) e su Webminer & Coin (dove ho associato tutte le liste per il blocco dei Webminer & Coin), in modo che affianco al nome compaia il visto, come nello screenshot:
Quindi ho cliccato su Apply, in modo da applicare le modifiche effettuate, in alto a destra ci verrà notificato l’avvenuta modifica:
e il dispositivo, avrà assegnati i 4 gruppi:
RISCONTRATE PROBLEMI DI NAVIGAZIONE E/O BLOCCHI?
Come prima opzione: si consiglia di di Analizzare la pagina Query log come nell’immagine:
Qui bisogna verificare le voci colorate di rosso dove è scritto Blocked, che riguardano i domini/siti web bloccati e se di nostro interesse cliccare sul tasto Whitelist..
In questa pagina, è possibile anche effettuare un filtro inserendo del testo nel campo Search in alto a destra.
E’ posibile:
- Effettuare un filtro inserendo il sito web che risulta bloccato (o una parte dell’indirizzo web) oppure il testo del servizio o app che risulta bloccata o non funzionante.
- Effettuare un filtro inserendo il nome del dispositivo (il client) dove riscontriamo il blocco, in modo da analizzare il traffico e capire quale sia il sito che venga bloccato e abilitarlo.
Facciamo un esempio pratico per capirne il funzionamento:
Sai di aver cliccato sul seguente link: https://bit.ly/XXXXXXX
e ti è comparso il blocco durante la navigazione (che informa che il sito non esiste e/o non è visitabile), ora vai sul sito del pihole, apri la pagina Query log e trova la voce che presenta il sito web https://bit.ly (oppure per fare prima inserisci nel campo Search in testo: https://bit.ly) troverai che è stato blocato (ed è di colore rosso), per abilitarlo basterà toccare il tasto: Whitelist. Riprova a visitare di nuovo il sito web e vedrai che ora funziona.
Questo procedimento ti permetterà di creare filtri personalizzati in base alle proprie esigenze personali e/o metodo di navigazione su internet.
Come seconda opzione: vi suggerisco di dare un’occhiata alla pagina ufficiale Pi-hole, dove vengono indicati i relativi servizi principali e i domini da abilitare, tramite relativo comando:
https://discourse.pi-hole.net/t/commonly-whitelisted-domains/212
Nota: Per dare i comandi si presuppone che si è collegati direttamente o in remoto al Raspberry o al dispositivo dove avete installato pihole e aprire il terminal, cliccando sulla relativa icona in alto a sinistra:
Come ultima opzione (dopo che hai seguito le raccomandazioni precedenti e non riesci a risolvere): puoi chiedere aiuto qui sul sito, scrivendo un commento all’articolo, proverò ad aiutarti.
AGGIORNARE IL SOFTWARE DEL PI-HOLE
Come faccio a sapere se il mio pi-hole deve essere aggiornato?
Basterà aprire la schermata di admin dal browser (solamente nel mio caso: http://192.168.1.37/admin) e leggere le info in basso alla pagina:
Se nella parte in basso ad una delle voci: Pi-hole oppure FTL oppure Web Interface, è presente la scritta Update Aviable, è necessario procedere all’aggiornamento, altrimenti non è neccessario effettuare azioni.
Come effettuare l’aggiornamento del pi-hole?
Prima di effettuare l’aggiornamento del pihole, è necessario effettare un backup della propria configurazione, questo è utile ad effettuare un ripristino immediato in caso di problemi, per farlo andare su: Setting -> Teleporter, nell’area Backup, cliccare sul tasto Backup, verrà generato un file contente tutte le configurazioni del nostro pihole.
Aggiornare il software del pihole è veramente semplice, basterà collegarsi al raspberry o al dispositivo dove è installato e aprire il terminal (sul raspbian il sistema operativo del raspberry, l’icona è presente in alto a sinistra):
Ora scriviamo il seguente comando:
pihole -up
Attendiamo che venga effettuato lo scaricamento dei file necessari e la relativa installazione, senza spegnere e/o riavviare il modem/router e/o il raspberry e il gioco è fatto.
NOTA IMPORTANTE: ad ogni aggiornamento è neccessario effettuare nuovamente questa procedura per far in modo che le liste vengano aggiornate ogni giorno.
Le mie personali statistiche dopo l’ausilio di PiHole:
Nota: Non ho usato i filtri della sezione parental control.
Come potete vedere, la percentuale di richieste bloccate… è da paura…. pensate la quantità di dati bloccati che vengono usati per tenere traccia delle nostre attività e come ci tartassano di pubblicità sui vari dispositivi (Pc, Smartphone/Cellulare, Smart tv, etc. ) il tutto evitando anche agenti malevoli presenti in rete.
Tutti i diritti sono riservati. Tutte le immagini e i loghi ufficiali di altri marchi sono (c) Copyright e ™ Marchi registrati dei rispettivi proprietari. Il sito web navigaresenzapubblicita.altervista.org non vuole assolutamente eludere i copyright. Vi prego di effettuare una segnalazione via email a bubusan@inwind.it, provvederò subito ad eliminare: il file e/o la relativa frase e/o nome del relativo software incriminato.
Ciao Giovanni,stamattina di buon ora ho riesumato un vecchio notebook che posso tranquillamente lasciare accesso h24 e ci ho installato il raspberry ed ho seguito tutta la tua giuda alla lettera senza nessun intoppo,è stato interessante farlo,mi è piaciuto,volevo chiederti,adesso che ho pihole,ublock origin; canvas blocker; decentraleyes devo comunque lasciarli attivati ?
Ciao Antonio,
I plug-in sul browser come ublock origin; canvas blocker; decentraleyes, devono rimanere attivi questo perchè pi-hole non riesce a bloccare tutto, devi pensare che alcuni tracciamenti, pubblicità e sniffing (….a me piace definire cosi’) come il WebRTC, il Canvas fingerprinting, oppuire alcuni script (in linguaggio java per lo più) presenti proprio sul sito web che stai visitando (quindi proprietari di quel sito), non vengono bloccati da pi-hole.
Puoi fare tu stesso dei test, disattivandoli e visitando siti web come: youtube, oppure siti giornalistici, e vedrai apparire le pubblicità; Ancora meglio puoi fare dei test di verifica di tracciamento e blocco della pubblicità visitando questi siti web (bloccando e disattivando sia pihole che i plugin):
https://coveryourtracks.eff.org/
https://browserleaks.com/donottrack
https://amiunique.org/fp
http://browserspy.dk/
Noterai grandi differenze.
Nota: Quello che potresti fare è alleggerire ublock origin eliminando o disattivando i link (i filtri) che sono presenti anche su pi-hole.
Ciao Giovanni,grazie per le dritte,scusa se non ti ringrazio abbastanza,lo faccio solo per non riempire la chat,ma visto che ci sono,ne approfitto ora per ringraziarti del lavoro che condividi con noi,del tuo tempo che ci dedichi e delle risposte che ci dai,alla prossima domanda 😉
Ciao Giovanni,scusami,sono sempre io,stavo pensando,se inveve di cambiare dns su tutti i dispositivi,lo cambiassi direttamente sul router,funzionerebbe uguale?
Certamente, se lo modifichi sul router, fai prima, ed è valido per tutta la rete di casa (sia Lan, sia Wi-Fi). Ricorda che così facendo, non puoi togliere la configurazione dal singolo dispositivo e in caso di problemi di navigazione dovrai analizzare i log di pi-hole, individuare il problema e inserire nella white list il sito o il dominio incriminato.
Approfitto di questo commento, per avvisare i visitatori, che non ho previsto una guida a riguardo, perché molti utenti possiedono il modem/router dell’operatore telefonico (come: Windtre, Fastweb, Tim, Vodafone, Sky, Tiscali, ecc.) che non permette tale modifica e inoltre la maggior parte dei dispositivi, ha un menu di configurazione proprietario (diverso uno dall’altro) e sarebbe difficile (se non impossibile) per me reperire ogni modello da voi posseduto.
Inoltre è possibile anche configurare il pi-hole come DHCP, in modo che sia lui stesso a gestire la rete e assegnare gli indirizzi ip, ma la guida diventerebbe troppo tecnica e alcuni potrebbero capirci poco e niente.
Ciao Giovanni,sicramente sbaglio qualcosa,ma quando imposto l’indirizzo IP assegnato al pi-hole il browser non funziona più,funzionano le app,ma il browser no…non sò cosa sbaglio…ho disattivato il DHCP dal router e attivato sul pi-hole e poi non riesco ad entrare nella dashboard da un altro pc o cellulare se non da quello dov’è installata la distro…
1- Per il problema del browser :
Se parli dello smartphone android collegato in Wi-Fi e fai uso dell’ultima versione di Firefox, ti avviso che ci sono seri problemi di funzionamento impostando un dns diverso (esempio quello di cloudflare o di pi-hole) e non navighi. In pratica Firefox usa (gli ip standard del router: 191.168.1.1 o 192.168.1.0 o 192.168.0.1 o 192.168.1.254 o ecc. ci siamo capoti) se non lo raggiunge semplicemente non funziona; Ecco perchè ho consigliato di usare l’app DNSChanger for IPv4/IPv6 (nell’apposita guida) per il cambio del DNS, in modo da forzarne il funzionamento visto che viene creata una vpn fittizia.
Se invece parli di pc è strano, deve funzionare tutto, prova a riavviare e dal terminale o dal prompt dei comandi a pulire la cache dns (ad sempio se ha un pc windows, dal prompt dei comandi lancia il comando: ipconfig /flusdns ).
2- Per il DHCP:
Ti consiglio di lasciare abilitato il modem/router ha effettuare l’assegnazione degli indirizzi ip della tua rete questo perchè il discorso del DHCP diventa tecnico e ci sono molte variabili che non conosco della tua rete, quindi è difficile risponderti ma cercherò comunque di darti una mano:
Per la configurazione del Pi-hole come DHCP (che assegna lui gli ip in rete) devi disabilitare il dhcp del router obbligatoriamente (ma se hai un modem/router che con lo permette come la vodafone station, che oltre a ciò non permette nemmeno di modificare il DNS, c’è un trucco in questo caso, nel menu della vodafone station bisogna ridurre il range DHCP ad un solo ed unico dispositivo quello del tuo Raspberry, per far sì che tutti gli altri device vengano gestiti dal Server DHCP del Pi-hole. Ad esempio devi impostare la vodafone station con il Range DHCP da 192.168.3.132 a 192.168.3.132)
Su pi-hole devi impostare:
DHCP server enabled: abilitarlo (mettere il visto)
Range of IP addresses to hand out: qui devi scegliere il range di indirizzi IP che il Pi-hole assegnerà ai tuoi dispositivi (esempio 192.168.3.132 e 192.168.3.253)
Router (gateway) IP address: inserire l’indirizzo IP del tuo router (esempio: 192.168.1.1)
DHCP lease time: qui devi lasciare invariato il valore, oppure scegliere il lasso di tempo che i dispositivi conservino lo stesso indirizzo (esempio 48 ore)
IPv6, SLAAC, And RA : và abilitata
Pi-hole domain name : lan
Enable DHCP rapid commit (fast address assignment): abilitare
Ciao Giovanni,scusami se non sono riuscito a risponderti prima,no android ho firefox 68.11 il problema sorge su tutti i pc…io ho un fritzbox 7590 (no TIM) e per il DHCP ho riportato tutto come prima,al momento accontono un questo progetto,magari compro prima un raspberry di quelli consigliati da te e riprovo,mi è venuto il dubbio potesse dipendere dal pc che è collegato tramite wifi e non lan,però non sò…riproverò più in là,grazie per le dritte
Ciao Giovanni,oggi ho ripreso con le prove ed ho sistemato,il problema era come sospettavo,collegando il pc con cavo lan pi-hole funziona perfettamente sul dns del router XD volevo chiederti un’altra cosa,è più sicuro pi-hole o questi dns preconfigurati per DNS over TLS (DoT) ?1dot1dot1dot1.cloudflare-dns.com; security-filter-dns.cleanbrowsing.org; dns-tls.qis.io; dns.quad9.net GRAZIE.
Ciao Giovanni,
ti faccio i complimenti per questa guida, la migliore che ho trovato su questo argomento.
Ho configurato tutto e funziona molto bene , avrei solo un problema da risolvere e spero tu possa aiutarmi.
Vengono bloccati i redirect da YouTube ad altri siti come ad esempio Amazon, Banggood etc… ad esempio nei commenti delle recensioni di YouTube ci sono i link per andare a vedere il prodotto recensito.
C’è un modo per abilitarli?
Grazie mille
Alessio
Ciao Alessio, ti ringrazio per i completimenti.
Per far funzionare i link di amazon “ufficiali”, devi recarti in Whitelist e aggiugere il seguente sito web: amzn.to nella voce domain
e in commenti inserisci: sito web amazon ; clicca poi su Add to Whitelist.
Ti voglio però dare un suggerimento, per gli altri blocchi che riscontri sui siti web(come Bandoo ecc.): analizza la pagina Query log;
qui devi verificare le voci colarate di rosso, in modo che tu stesso possa capire quale sia il sito che venga bloccato e abilitarlo.
Facciamo un esempio, sai di aver cliccato su https://bit.ly/XXXXXXX e ti è comparso il blocco, ora vai su Query log, trova la voce che presenta il sito web https://bit.ly e per abilitarlo basterà toccare il tasto: V Whitelist.
Questo ti permetterà di creare filtri personalizzati in base al proprio metodo di navigazione.
Nota: se vedresti i filtri degli utenti, ti meraviglieresti delle abilitazioni effettuate, ma è del tutto normale, ogni persono ha un suo modo di pensare….
Ciao Giovanni,volevo informarti che due filtri non sono più disponibili da un pò di tempo (almeno per me)
“https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/TOP_EU_US_Ads_Trackers_HOST” e “https://www.malwaredomainlist.com/hostslist/hosts.txt” il secondo però dal browser funziona e mi da solo una regola “127.0.0.1 localhost” forse per questo motivo pi-hole non lo legge,mentre il primo è irraggiungibile.
Ciao Antonio, ho provveduto ad aggiornare l’articolo, modificando il link per Kees1958 (ho trovato un’alternativa) e ad aggiungere anche altri filtri.
Ciao Giovanni,sto usando ed apprezzando moltissimo sia pihole che nebulo,nebulo sul mio smartphone e pihole su un vecchio notebook,tablet e un vecchio cell che uso solo per youtube,vorrei più in là ottimizzarlo anche per tutta la rete di casa,ma c’è da lavorarsi per sbloccare alcuni filtri,però è ottimo!Grazie per aggiornarci di frequente e farci conoscere nuove app. Adesso stò seguendo la presentazione di windows 11 che ahimè non mi ha entusiasmeto,sembra più un sistema ottimizzato almeno graficamente per un tablet…io sono daccordo sull’unificare un sistema operativo su diversi dispositivi ma non a discapito l’uno dell’altro avrei preferito un windows lato pc tipo windows xp o 7…il flop di windows 8 o 8.1 non è bastato a microsoft…
Grazie Antonio per i complimenti. Si il pi-hole và personalizzato, anche io ho i miei filtri personalizzati. Per quanto riguarda windows, io sono del parere che dovrebbero pensare prima ad ottimizzare il sistema operativo, eliminare la miriade di bug e permettere all’utene di far decidere veramene cosa condividere e poi fare un’altra versione. Il mio consiglio è di provare una versione di linux come Mint, per poi passare a quelle più professionali, vedrai… è tutto un altro mondo.
Ciao, non capisco perche alcune liste di blocco contengono al interno i siti con il 0.0.0.0 davanti ed altri no…
cosa cambia?
L’indirizzo 0.0.0.0 viene definito come un indirizzo non instradabile e viene usato per segnalare un target non valido o sconosciuto (può avere altri usi, ma siamo in campo di reti aziendali e ciò non viene trattato su questo sito web).
L’indirizzo 127.0.0.1 è l’indirizzo di localhost, quindi il traffico viene instradato sullo stesso dispositivo. Nel nostro caso che usiamo pihole viene effettuato un reverse DNS(PTR).
Quando non è presente l’indirizzo ip davanti al dominio/sito internet/indirizzo ip, lo stesso è bloccato e per definizione il pihole lo instrada verso ip: 0.0.0.0 .
In pratica per semplificare il tutto ti basti sapere che questo aiuta a confondere alcuni script web e software installati sul pc (solo come titolo di esempio: overwolf) in modo da non ricevere errori durante la navigazione e/o l’uso.
Ciao,
ottimo articolo ma non trovo un’informazione, se possibile come opzione, come disattivare pi-hole per un singolo dispositivo? ho una tv smart dove un’app mi dice che è in funzione un ad-block e quindi misbatte fuori.
Ci sono due metodi per disattivare pihole per un dispsositivo:
– il primo devi impostare i dns manualmente sullo smart tv ad esempio inserendo quelli di quad9: 9.9.9.9 e 149.112.112.112, questo fà in modo che non usi pihole.Per tornare come prima rimetti ip del pihole oppure la voce assegna automaticamente dns.
– Il secondo metodo è sul pannello amministrativo di pihole, bisogna creare un gruppo nel menù Group management, ad esempio lo puoi nominare Gruppo_senza_blocchi. Ti segnalo che il gruppo appena creato non ha assegnato nessun tipo filtro presente in AD-list, quindi vai in Client (sempre in group management) poi nel menù Known clients, selezioni il dispistivo in base al nome, o indirizzo ip o il mac andress che ha il tv e clicchi su Add, poi più in basso, ci assegni il solo gruppo appena creato (Gruppo_senza_blocchi , se hai seguito il mio suggerimento).
ma scusate, si deve inserire solo una lista di quelle elencate vero? Mica tutte?
Ciao Danilo, è necessario inserire tutte le liste presenti nel paragrafo, link diretto: https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#Block-list-pihole-Nebulo Questo se vuoi essere protetto da malware, spyware, ranswomware, ecc. ; Eliminare pubblicità e server traccianti.
Ciao Giovanni, grazie mille per la guida! Mi è tornata estremamente utile, soprattutto per le liste di domini. Però volevo approfittare per chiederti aiuto, da quando ho messo pihole come DNS il mio oneplus non riesce a ricevere gli aggiornamenti di sistema (la Oxygen), quando avvio la ricerca mi dà nessuna connettività. Ho provato a cercare il dominio nel query log, e mi risulta “otag.h2os.com”, che il pihole consente! Ho abilitato anche il dominio “open.oneplus.net”, ma nulla… Riusciresti ad aiutarmi?
Ciao, non possendendo un cellulare Oneplus, non posso effettuare test, ho la necessità di sapere che modello possiedi?
Inoltre hai seguito la guida inserendo i link da me suggeriti o ne hai inserito anche altri?
Hai installato la white list di anudeepND?
Ti consiglio, comunque di verificare attentamente i log, andando anche sulla voce show all del query log, per verificare quale dominio venga bloccato ed effettuare lo sblocco inserendolo nella white list.
Ciao Giovanni,a me queste due liste non le carica: “https://urlhaus.abuse.ch/downloads/hostfile/” e “https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt” mentre mi esce il triangolino arancione/giallo con il punto esclamativo a queste liste: “https://blocklistproject.github.io/Lists/phishing.txt”; “https://raw.githubusercontent.com/iam-py-test/my_filters_001/main/Alternative%20list%20formats/antimalware_hosts.txt”; “https://github.com/kboghdady/youTube_ads_4_pi-hole/blob/master/youtubelist.txt”; “https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/TOP_EU_US_Ads_Trackers_ABP”
Ciao Antonio, io sto usando sia i dns quad9 che cloudflare e non riscontro tale anomalia. Verifica che hai correttamente configurato i dns sul tuo pihole e che sia aggiornato, inoltre se effettui l’aggiornamento usando la pagina web, non devi cambiare pagina e/o navigare su quel dispositivo. Prova ad aggiornare manualmente dal pihole facendo partire il terminal e lanciando il comando pihole -g .
Ciao ma per fare l’aggiornamento automatico della white list che file è da modificare che nella guida non è chiaro, è lo stesso della balcklist?
Grazie gran lavoro.
Ciao KawaBabo,no Giovanni ha saltato un piccolo appunto quando dice : “Una volta eseguito, entreremo nell’editor di testo (nano /etc/crontab) e aggiungeremo la seguente riga:
0 1 * * */7 root /opt/whitelist/scripts/whitelist.py
prima del testo # (per spostarsi usare i tasti freccia della tastiera) come nell’immagine sottostante:
anchio non sapevo come fare,non masticando linux ma poi vedendo lo screen e andando per logica ho risolto xD
Comunque ragazzi Buon Anno Nuovo
Grazie per la segnalazione, articolo corretto e Buon Anno a tutti
Ciao Giovanni,sto utilizzando pihole direttamente sul mio router con solo le liste filtre “1. Liste da aggiungere per il blocco di siti web e server malevoli come phising/malware/ransomware/ecc. e siti contraffatti/di truffa”e devo dire che al momento và tutto ok,ovviamente usando ublock canvas decentraleyes sul pc e nebulo sul cell non blocca chissà che però qualcosa la blocca,mi piace che hai diviso in settori i filtri,se dovessero esserci altre liste che non influenzano la navigazione,magari anche anti tracking,telemetria ecc…ecc.. aggiungili 😉 io ti seguo e testo sempre anche quando non ti scrivo 😉
Ciao giovanni,la lista “https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/TOP_EU_US_Ads_Trackers_ABP” non è più raggiungibile,già che ci sono volevo chiederti,ho cambiato la lista “https://github.com/kboghdady/youTube_ads_4_pi-hole/blob/master/youtubelist.txt” con “https://raw.githubusercontent.com/kboghdady/youTube_ads_4_pi-hole/master/youtubelist.txt” perchè la prima pihole non me la leggeva,mi dai conferma che è la stessa lista e posso stare tranquillo?
Per la prima segnalazione ti informo che il link è cambiato è cambiato ora è: https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/EU_US%2Bmost_used_ad_and_tracking_networks e ho aggiornato la pagina.
Per la seconda segnalazione, ti confermo che si’ sono la stessa cosa, ho modificato pure la pagina.
Ciao Giovanni,a me la lista “https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/EU_US%2Bmost_used_ad_and_tracking_networks” su pihole mi da ”
This list was added to Pi-hole 13 hours ago (2022-05-17 22:28:37)
Database entry was last modified 13 hours ago (2022-05-17 22:28:37)
The list contents were last updated 13 hours ago (2022-05-17 22:44:49)
Number of domains on this list: 5556
Number of invalid domains on this list: 5555″
da cosa può dipendere?
Ciao Antonio, hai ragione.
La lista è stata resa compatibile solo per ublock ho dovuto rimuoverla, chiedo scusa, grazie della segnalazione.
Oggi ho effettuato un ulteriore aggiornamento dopo i miei test, ti chiedo ancora scusa per l’errore precedente ero preso da altre cose.
Ciao Giovanni,la lista “https://raw.githubusercontent.com/cbuijs/shallalist/main/spyware/domains” e la lista “https://cinsscore.com/list/ci-badguys.txt” a me non sono più accessibili
Ciao Antonio, per il primo link ho inserito quello aggiornato, il secondo mi funziona regolarmente. aprilo con il browser e verifica se viene caricato (attenzione qualche software antivirus potrebbe vederlo come una minaccia e bloccarlo)
Ciao Giovanni,grazie,si il secondo link ieri sera non andava,forse problema della tarda ora,oggi funziona!
Hi! Any way to block Youtube ads?
You try https://raw.githubusercontent.com/CitizenXVIL/Hosts/master/Youtube%20hosts.txt ,but good result use firefox and ublock origin
Have you seen this project?
https://github.com/kboghdady/youTube_ads_4_pi-hole
Thanks, seems like a good idea, I’ll run some tests to check if it works in the time
Ciao
installato il PiHole con liste aggiornate, funziona tutto, mi sembra alla grande.
Ho un solo problema: RAIPLAY non carica più i video (nè sul TV nè sul telefono – quando collegato alla mia rete).
Ho provato a lavorare sulle whitelist, ma niente. Non funziona nemmeno se metto in pausa PiHole.
Sembra che il problema sia il fatto di aver definito un indirizzo per il DNS specifico (quello di PiHole): se infatti vado sul mio router e rimetto l’opzione “usare i DNS assegnati dal tuo provider”, invece del DNS di PiHole, RAIPLAY ricomincia a funzionare.
Sai se c’è qualche opzione in PiHole che possa essere impostata per consentire di far funzionare anche RAIPLAY?
Ciao Francesco, io non ho problemi con Raiplay e non ho filtri abilitati per raiplay nella whitelist.
Prova ad usare (verificare) queste impostazioni sul pihole:
– nella scheda Setting, poi nella relativa scheda DNS, imposta i DNS Quad9 e Cloudflare (gli altri toglili)
– abilita la voce Allow only local requests
– inoltre devono essere abilitate le vocei
Never forward non-FQDN A and AAAA queries
Never forward reverse lookups for private IP ranges
Use DNSSEC
Fammi sapere se risolvi semplicemente cosi’
Ciao e grazie per la dritta
Purtroppo non ci sono cambiamenti
Ho provato a selezionare i DNS che mi hai indicato, prima solo IPv4, poi IPv6, poi entrambi (anche provando uno a uno e tutti e due per gruppo), ma non cambia niente (le altre opzioni che mi hai indicato erano già attive).
Ti segnalo che sul mio router (Fritz) ho inserito come indirizzo DNSv4 l’indirizzo IP della macchina su cui ho installato il PIHole: qui devo inserire in indirizzo “favorito” e uno “alternativo” (questo non può essere 0.0.0.0) attualmente l’alternativo è lo stesso del favorito, ma ho provato anche a inserire l’indirizzo del router stesso, o un IP esterno, senza nessuna variazione nel comportamento.
Ciao e grazie per l’aiuto
Francesco
Nel router del tuo operatore, devi impostare come DNS quello della macchina dove è installato il pihole (sia come DNS primario che come DNS secondario, ad esempio nel mio caso ho impostato: 192.168.3.132) Ti ricordo che aluni Router/modem sono bloccati e per far funzionare un dispositivo con i dns del pihole e non quelli dell’operatore, è necessario impostarli sul dispositivo (pc, cellulare android, cellulare iphone , ecc.) . Non conoscendo i vari filtri che hai inserito o se ci sono altri al di fuori di quelli indicati sulla pagina, Ho preferito effetture una verifica sui domini contattati dal sito web raiplay.it.Allora ho dedotto che devi inserire questi domini in elenco nella white list del pihole:
rai-italia01.wt-eu02.net
googletagservices.com
c.neodatagroup.com
imasdk.googleapis.com
responder.wt-safetag.com
gstaticadssl.l.google.com
cdns.gigya.com
cdns.eu1.gigya.com
cdns3.gigya.com
cdns2.gigya.com
cdns1.gigya.com
cdn.mateti.net
Dovresti risolvere la problematica, se non è cosi’ fammi sapere quali sono domini che trovi bloccati sul pihole con la scritta Blocked (gravity), quanto effettui il tentativo di visionare un video sulla piattaforma raiplay.
F U N Z I O N A!!!!!!
Grazie davvero, mi sei stato di grande aiuto
Devo dire che sulla tua ultima indicazione ero un po’ pessimista, dato che la situazione non si sbloccava nemmeno mettendo in pausa PiHole, invece era solo una questione di whitelist.
Ho visto che il tutto continua a funzionare anche togliendo la spunta sui DNS di Quad9 che mi avevi consigliato come prima soluzione e lasciando il solo Cloudfire (DNSSEC): cosa mi consigli su questo?
Ottimo sono contento che hai risolto, se puoi e se ti và effettua una donzione. Io personalmente da qualche mese sto usando i soli Quad9 (filtered, DNSSEC) come DNS, in quanto mirano a proteggere gli utenti da malware e phishing (bloccando alcuni siti web e domini) e inoltre sfruttano il protocollo DNSSEC. Per questo tipo di domanda posso suggerirti la mia soluzione, ma sta a te decidere anche in base al tempo di risposta in ms , che hai per la tua connessione e capire quale sia per te il DNS migliore.
Certamente
grazie ancora!
Francesco
Sono qui per aiutare, grazie a te per la donazione.
Ciao, ancora io
problemi sono ripresi
RAIPLAY ha funzionto per un giorno, il giorno dopo singhiozzo, da ieri niente
Ho provato a cancellare tutte le liste che avevo importato da firebog, e inserire solo quelle che proponi tu nel tuo sito, nessuna differenza, anzi un leggero peggioramento su altri fronti: non riesco più a sentire uno streming di una radio che stavo sentendo mentre stavo facendo l’upgrade delle liste, e dal tuo sito non vedo più le immagini a fianco del nome dell’utente su questa pagina dei commenti
Il mio Pi-hole diagnosis, mi dice (ma lo diceva anche prima di aggiornare le liste): “Long-term load (15min avg) larger than number of processors: 2.1 > 2
This may slow down DNS resolution and can cause bottlenecks”
La cosa strana è che, mentre cerco di accedere a RAIPLAY o allo streaming di quella radio, non ci sono blocchi particolari nel Query Log
Altra cosa che non capisco è che, se metto il PiHole in pausa, non cambia niente
Hai qualche suggerimento?
Francesco
Francesco, io non so cosa intendi per mettere pausa il pihole.
L’unico modo facile per non far passare il traffico sul pihole di un determinato dispositivo che stai usando (ad esempio il pc), è usare sullo stesso un altro DNS (ad esempio inserendo quelli di cloudflare), oppure sul pihole associare al dispositivo un gruppo che non abbia affiliato nessuna lista, non esistono altri metodi che io sappia (ovviamente non cosidero di togliere a tutta la rete del tuo modem/router il passaggio verso il pihole e configurare i dns dell’operatore).
Io non riscontro nulla di quello che hai descritto per raiplay, (per lo streaming della radio, se non mi dai il sito web,non posso sapere se mi funziona o meno) mentre per le immagini degli avatar vicino agli utenti quando ci si risponde, sono a conoscenza del problema e visto che il server secure.gravatar.com è usato per tracciare, mi sta bene che sia bloccato e che non vengano visualizzate, tanto non crea disservizio (per non essere tracciati ricorda devi sempre trovare un accordo durante la navigazione).
Per analizzare e risolvere il tuo problema ti anticipo che ci vuole tempo e pazienza. Quello che ti consiglio, visto che sicuramente non lo hai fatto è di creare i seguenti gruppi (clicca qui per la guida) sul pihole:
– NO_FILTRI
– Pubblicità
– Traking/Telemetria
– Blocco_multiplo
– Smart_Tv
– Liste_opzionali
Una volta creati, è necessario associare (clicca qui per la guida) le liste a ogni gruppo
Una volta fatto, ti cosiglio di associare i relativi gruppi al dispositivo PC dove stai effettuando lo streaming (clicca qui per la guida)
Questo ci permetterà di capire la lista o le liste che ti creano questi problemi in quale gruppo siano annidate e dopo analizzare e inserire i server nella whitelist.
Effettua il test per il sito raiplay, il problema è presente ancora? Dissocia il gruppo Liste opzionali dal dispositivo pc
Ri-effettua il test per il sito raiplay, il problema è presente ancora? Dissocia il gruppo Blocco multiplo dal dispositivo pc
Ri-effettua il test per il sito raiplay, il problema è presente ancora? Dissocia il gruppo Traking/Telemetria dal dispositivo pc
Ri-effettua il test per il sito raiplay, il problema è presente ancora? Dissocia il gruppo Pubblicità dal dispositivo pc
Fammi sapere
Nota: Se vuoi disabilitare il pihole per un determinato dispositivo, basterà associare il gruppo NO_FILTRI al PC o al dispositivo dove stai riscontrando i problemi
Grazie!
Veramente apprezzato il tuo lavoro, soprattutto tenendo aggiornata l’elenco delle liste che usi e suggerisci!
Ho fatto una piccola donazione (davvero meritata) e penso di ripeterla ad ogni aggiornamento 🙂
PS.
Un piccolo suggerimento, sarebbe utile aggiungere alla guida gli step per l’utilizzo di unbound, e considerazioni sul fatto che con la combo pihole + unbound si può disabilitare il DNSSEC di pihole perchè dovrebbe già farlo unbound e sarebbe ridondante e peggiorativo per i tempi di risposta.
Ciao Umberto, Grazie. Per quando riguarda unbound(Nelabs) avevo già un idea per creare una guida da pubblicare, ma molti miei amici in smart working, stanno riscontrando alcuni problemi, appena riuscirò a risolvere queste beghe metterò giù una guida (con i miei appunti).
Ciao Giovanni,navigando su internet ho trovato questa guida,dove dice come associare pihole a dnscrypt,solo che io da ignorante,non ho capito come fare, per favore,potresti spiegarmelo ? “https://www.gorlani.com/articles/dns.php” è il punto 5 .
Io ho aggiunto 127.0.0.1#53 su pihole Upstream DNS Servers – Custom 1 e Custom 2 che sarebbe la lista andresses di dnscrypt è impostato su fallback resolvers 1.1.1.1#53 1.0.0.1#53 e su pihole mi esce sulla dashboard Upstream servers 1.1.1.1#53 1.0.0.1#53 non sono sicuro sè quello che ho capito leggendo la guida sia giusto,per favore illuminami Grazie.
Ciao Antonio, il link da te segnalato non è una guida ma un articolo preso da un libro di Hakin9 Magazine.
Se sei interessato all’installazione di Dnscrypt sul pihole, prima di tutto ti segnalo che se hai installato il programma simplecrypt presente nella prima pagina GUIDA PER PC…. devi disinstallarlo, inoltre devo informati che il tempo di latenza della tua connessione aumenterà notevolmente con questo metodo.
Ora Veniamo al dunque e procediamo a installare il Dnscrypt su Raspberry avente il pihole già installato.
Apri il terminale sul raspberry e dai questi comandi
cd /opt
sudo wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.1.2/dnscrypt-proxy-linux_arm-2.1.2.tar.gz
sudo tar -xf dnscrypt-proxy-linux_arm-2.1.2.tar.gz
sudo mv linux-arm dnscrypt-proxy && cd dnscrypt-proxy
sudo cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml
sudo nano dnscrypt-proxy.toml
Prima di dare il prossimo comando ti segnalo il sito dove sono indicati i server DNS che supportano il dnscrypt https://dnscrypt.info/public-servers/ qui dovrai sceglierne uno.
Ad esempio potresti usare uno di qusti due:
– quad9-dnscrypt-ip4-filter-pri
– adguard-dns a te la scelta
Una volta scelto il server dovrai dare inserire questi dati nel file di testo che stiamo modificando:
server_names = [‘nome-server-dns-scelto’]
(esempio comando con server dns quand9: server_names = [‘quad9-dnscrypt-ip4-filter-pri’] )
Ora dobbiamo scegliere una porta da utilizzare, per non incorrere in errori o porte utilizzate da altri componenti che hai potuto installere, consiglio di utilizzare una porta superiore a 1024.
In questo esempio utilizzo la porta 5279 :
listen_addresses = [‘127.0.0.1:5279’, ‘[::1]:5279’]
Infine questi ultimi dari (per abilitare il dnssec, disabilitare il no filter e la cache visto che useremo quella del pihole)
require_dnssec = true
require_nofilter = false
cache = false
Ora salviamo e usciato dall’editor. (Ctrl” e il tasto “X”, Clicchiamo il tasto S sulla tastira per confermare le modifiche effettuate, Premiamo Enter (invio) per confermare il salvataggio)
Ora devi aprire l’interfaccia web del pihole, sul menu a destra devi cercare la voce Settings e cliccarci su, poi scegli la scheda DNS. Qui devi togliere tutte le abilitazioni (il visto) su tutti parametri abilitati in precedenza e abilitare la voce Custom 1 (ipv4) inserendo il seguente testo: 127.0.0.1#5279 e in Custom 3(IPv6) inserire il seguente testo: ::1#5279
Fatto questo premi su Save, in basso.
Fammi sapere se hai problemi.
Per far funzionare Raiplay con pihole attivo devi mettere in whitelist
imasdk.googleapis.com
A me e’ bastato quello.
Ciao Fabio, questo dominio: imasdk.googleapis.com risulta presente nella whitelist di anudeepND, quindi dovresti già averlo abilitato se hai seguito la mia guida e quindi hai letto questa pagina.
Ciao Giovanni,GRAZIE MILLE per la tua disponibilità,cortesia e pazienza,praticamente hai scritto una guida per me,ed io non ci avevo capito nulla di quell’articolo,comunque io non mastico bene linux,lo uso praticamente da quando ho installato raspberry os desktop con te qui,di conseguenza una volta arrivati qui: “Una volta scelto dovrai dare il seguente comando:
server_names = [‘nome-server-dns-scelto’]
(esempio comando con server dns quand9: server_names = [‘quad9-dnscrypt-ip4-filter-pri’] )…” mi sono bloccato,comunque non importa,lasciamo stare,hai detto che la latenza poi peggiorerebbe notevolmente,lascio installato simplecrypt su windows con il quale mi trovo abbastanza bene GRAZIE ANCORA PER LA TUA CORTESIA E PAZIENZA
Antonio, in pratica sul comando:
server_names = [‘nome-server-dns-scelto’]
al posto della scritta: nome-server-dns-scelto, devi inserire il server che vuoi utilizzare preso da questa pagina https://dnscrypt.info/public-servers/ (devi vede un server che abbia nella colonna protoccolo il valore dnscrypt e nella colonna dnssec sia presente il lucchetto)
Se ti va bene il server di quad9 usa questo comando
server_names = [‘quad9-dnscrypt-ip4-filter-pri’]
Ciao Giovanni
ho aspettato un po’ di giorni per risponderti, per controllare il funzionamento: ora non ho più problemi.
Ho cancellato tutte le liste che avevo (e le Whitelist che avevo di voltata in volta attivato, tranne quelle che mi avevi segnalato tu per RAIPLAY), ed ho ricaricato le tue liste, assegnandole ai gruppi come mi hai suggerito, ma da allora funziona tutto senza fare altro – ho solo assegnato a due indirizzi IP il gruppo “NO LISTE” (sono per due Rasperry che uso per fare dello streming audio), per il resto tutti i Client usano tutte le liste. Onestamente non ho capito come mai ora funziona tutto… (le liste “Opzionali” non le ho mai usate) – ad ogni modo grazie per il supporto.
Mi sai dire per favore il significato del Pi-hole Diagnosis, quando dice “Long-term load (15min avg) larger than number of processors: 2.1 > 2
This may slow down DNS resolution and can cause bottlenecks” (anche se questo messaggio non mi è più apparso)
Inoltre nella Dashboard, in alto a sinistra, a volte ho il segnale rosso per “Load”, ad esempio ora è rosso, e indica “Load: 5.44 3.03 1.21”: che significa?
Quando dicevo di “Mettere in pausa il PiHole” intendevo la voce di menu “Disable”
Ciao
Francesco
Ciao Francesco, importante è aver risolto, con il metodo dei gruppi è più facile capire quale lista possa creare il problema e cosa importante dare a un qualsiasi dispositivo le giuste regole (speciamente se si ha un figlio piccolo).
Per quanto riguarda il tasto disable a me non ha mai funzionanto, ecco perchè mi piace ricorre all’uso dei gruppi.
Per gli errori da te indicati (indicando che personamente sul mio raspberry non li riscontro), devo indagare, effettuerò delle ricerche in merito e cercherò di darti informazioni per risolvere il problema e/o capire da cosa sia dovuto.
Ho fatto alcune ricerche ma il pihole è installato su una macchina virtuale?
Ciao Giovanni,scusami,ero imbranato io,bastava leggere le info in inglese,dove diceva di togliere il cancelletto ecc…ecc…ho sistemato tutto,adesso mi è sorto un alto dubbio,quando dici: “Ora devi aprire l’interfaccia web del pihole, sul menu a destra devi cercare la voce Settings e cliccarci su, poi scegli la scheda DNS. Qui devi togliere tutte le abilitazioni (il visto) su tutti parametri abilitati in precedenza e abilitare” intendi solo in: “Upstream DNS Servers” o anche i visto su: “Advanced DNS settings” ?
Devi togliere tutti i visto (se presenti) in Upstream DNS Servers e eliminare (se presenti) i parametri in Upstream DNS Servers, inserendo quelli indicati.
La parte Advanced DNS settings non serve modificarla.
…ok allora quando provo a navigare le pagine restano bianche,i grafici di pihole continuano a bloccare ma sul browser non si visualizza nulla,se provo a ridare i comandi: cd /opt
sudo wget https://github.com/jedisct1/dnscrypt-proxy/releases/download/2.1.2/dnscrypt-proxy-linux_arm-2.1.2.tar.gz
sudo tar -xf dnscrypt-proxy-linux_arm-2.1.2.tar.gz
sudo mv linux-arm dnscrypt-proxy && cd dnscrypt-proxy
sudo cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml
sudo nano dnscrypt-proxy.toml
per tornare a vedere cosa posso aver sbagliato,non mi fà più entrare
al comando: “sudo mv linux-arm dnscrypt-proxy && cd dnscrypt-proxy” mi dice che la directory non è vuota
al comando: “sudo cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml” la cartella non esiste
e “sudo nano dnscrypt-proxy.toml” è vuoto ovviamente sono in opt
Sicuro di aver inserito anche i dati:
listen_addresses = [‘127.0.0.1:5279’, ‘[::1]:5279’]
require_dnssec = true
require_nofilter = false
cache = false
E aver impostato i seguenti valori nella pagina dns:
Custom 1 (IPv4): 127.0.0.1#5279
Custom 3(IPv6): ::1#5279
I comandi indicati in precedenza non vanno ridati, altrimenti si “incasinano” file di configurazione del dnscrypt.
Fai un test di connessione direttamente dal tuo piole effettuando questo comando dal terminale
dig @indirizzo_del_tuo_pihole http://www.google.it
dove indirizzo_del_tuo_pihole è l’indirizzo ip del tuo pihole
Qui il comando deve rispondere con 1 server found e tutte le info di risposta del server con il relativo tempo di latenza (una specie di comando ping dato su windows)
Se non riesci a risolvere ti dò un altra procedura molto semplice.
Prima di partire nell’interfaccia grafica del Pihole, elimina la configurazione dei dns personalizzati Custom 1 (IPv4) e Custom 3(IPv6) e abilita i dns di Cloudflare, nella sezione Upstream DNS Servers.
Apri il terminale e digita questo comando:
sudo apt-get install dnscrypt-proxy nano
Una volta eseguito e terminato digita questo comando:
sudo nano /lib/systemd/system/dnscrypt-proxy.socket
Ora sei in modalità modifica testo, qui devi modificare i due testi dove è scritto
127.0.2.1:53
in
127.0.2.1:5279
Ora premi CTRL e X
poi S (per confermare le modifiche)
quindi Enter (o Invio) per confermare
Ora digita quest’altri comandi:
sudo systemctl enable dnscrypt-proxy.service
sudo systemctl enable dnscrypt-proxy.socket
sudo systemctl start dnscrypt-proxy.service
sudo systemctl start dnscrypt-proxy.socket
Finito di fare i comandi facciamo un test di connessione, sfruttando il dnscrypt appena installato, per farlo effettuando questo comando (sempre da terminale):
dig google.it @127.0.2.1 -p 5279
Nota: vedrai che il tempo di latenza è aumentato in modo esponenziale
Se vuoi verificare la differenza del tempo di latenza(risposta) dai invece quest’altro comando:
dig google.it
Ora se sei convinto di voler utilizzare il dnscrypt, nell’interfaccia grafica del Pihole, modifica il seguente valore nella pagina dns:
Custom 1 (IPv4): 127.0.2.1#5279
Informazione: di base dnscrypt usa i server cloudflare se vuoi modificarlo e usarne un’altro dovrai dare questo comando da terminale:
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml
e modificare la voce:
server_names = [‘cloudflare’]
inserendo al posto di cloudflare un altro server di tuo gusto.
Poi premi CTRL e X
poi S (per confermare le modifiche)
quindi Enter (o Invio) per confermare.
Ciao Giovanni,scusa se non sono riuscito a risponderti prima,in questi giorni sono molto impegnato e non riesco a sedermi d’avanti al pc,appena le cose tornano a posto faccio le prove,e ti aggiorno,scusami.
Ciao Antonio, nessun problema, quando sei libero mi fai sapere
Ciao Giovanni,scusa per il ritardo,sono stati giorni un pò difficili,allora ho provato lanuova procedura,ho testato la latenza che senza filtro è 50 ms con il filtro 85ms adesso testo un pò e ti aggiorno,già che ci sono ne approfitto per dirti anche che su ublock la lista “https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/EU_US%2Bmost_used_ad_and_tracking_networks” non è raggiungibile,oggi ho aggiornato tutto ed a me non và
Ciao Antonio, grazie per la segnalazione, basta aggiungere alla fine .txt e funziona nuovamente, per comodità eccoti il link:
https://raw.githubusercontent.com/Kees1958/W3C_annual_most_used_survey_blocklist/master/EU_US%2Bmost_used_ad_and_tracking_networks.txt
Fammi sapere per quanto riguarda il pihole come procederai.
Ciao Giovanni,ieri sera ho eseguito la seconda procedura,e sto utilizzando pihole direttamente sul fritzbox,sembra funzionare perfettamente
Ottimo
Ciao Giovanni,molto probabipmente ti farò una domanda stupida dettata dalla mia ignoranza,perdonami devo fartela ugualmente,allora come ti dissi ho impostato pihole come dns direttamente sul fritzbox cosi da filtrarmi tutta la rete di casa,e per il momento non ho problemi,ed è questo che mi ha allarmato xD… e mi sono chiesto,io sui pc ho lasciato dsncrypt installato configurato ed attivo,può dipendere da questo che non incappo hai classici problemi di visualizzazione di siti dovuti dalle regole del pihole?se lascio dnscrypt configurato sul pc pihole filtra comunque perchè la linea a cui attingo e comunque schermata da pihole? Per te la risposta sarà sicuramente logica,puoi illuminarmi? Grazie!
Ciao Antonio, il dnscrypt che hai installato sul pc sicuramente non punta all’indirizzo del pihole ma a un dns differente (ad esempio cloudlare) devi disabilitarlo e/o disinstallarlo anche perchè è inutile criptare le informazioni dal pc al pihole/modem che hai in casa.
Grazie Giovanni,mi era sorto questo dubbio…ahahah…
Ciao Giovanni,ieri mi sono accorto che dolo l’attivazione di dnscrypt direttamente su pihole,le liste non siaggiornano più,lo stesso raspberry os non naviga più su internet,ho provato anche a disattivare Custom1 ed usare i server Cloudflare ma niente,sul raspberry non si riusciva a navigare,quindi ho riformattato e fatto le due prove,senza dnscrypt pihole si aggiornava e potevo navigare su raspberry,appena attivavo il dsncrypt,la seconda procedura da te descritta,non mi era più possibile navigare,anche se il fritzbox continuava ad essere filtrato
Ciao Antonio, io ho 2 raspberry. Su quello di test dove ho attivato il dnscrypt, non riscontro anomalie di sorta, sia i dispositivi che usano quel pihole, che il raspberry stesso navigano senza problemi. Screenshoot dell’aggiornamento delle liste:
Verifica di aver aggiornato sia la versione del sistema raspbian effettuando questi tre comandi:
1) sudo apt update
2) sudo apt upgrade
3) sudo apt dist-upgrade
E di avere l’ultima versione del pihole, puoi verificarlo effettuando il comando
sudo apt dist-upgrade
Inoltre hai verificato quali dns di base utilizzi effettuando il comando
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml
verificandore la voce:
server_names = [‘cloudflare’]
Aggiorno la risposta aggiungendo un’altra informazione: Il raspeberry di base (di default) non usa il pihole come dns, deve essere effettuata una modifica per poterli usare, inoltre ciò viene sconsigliato dagli stessi autori del pihole. Qui la relativa documentazione ufficiale https://docs.pi-hole.net/main/post-install/
ho provato,questo è il messaggio che mi appare appena attivo il dnscrypt e provo ad aggiornare la lista filtri “DNS resolution is currently unavailable” ho controllato il server_sames ed è impostato su cloudflare,pihole e raspberry os aggiornati
Il problema sono i dns impostati del raspbian (il sistema operativo installato sul raspberry).
Facciamo il comando:
sudo nano /etc/dhcpcd.conf
Qui devi trovare la seguente riga (verso la fine del file):
static domain_name_servers=
e verificare che abbia i seguenti valori
1.1.1.1 1.0.0.1
Cosi’ come te li ho segnati con uno spazio tra un ip e l’altro. Se sono presenti degli ip differenti cambiali con questi indicati.
Adesso effettua questo comando per riavviare il servizio dhcpcd:
sudo service dhcpcd restart
Ora verifichiamo anche il file /etc/resolv.conf facendo questo comando
sudo nano /etc/resolv.conf
in pratica qui ora dovresti avere le seguenti righe:
nameserver 1.1.1.1
nameserver 1.0.0.1
Ora manca solo effettuare un test di connessione effettuando il comando:
dig navigaresenzapubblicita.altervista.org
Con questa procedura dovresti risolvere il problema dei DNS impostati sul raspbian installato sul raspberry.
Ciao Giovanni,sistemato!!! Grazie!!!
Grazie molte.
Questo post mi ha permesso di aggiornare la versione che avevo ed effettuare tutta una serie di migliorie.
Fra i gruppi è stato implementato “Webminer & Coin” però poi non vi sono indicazioni dei siti da mettere in lista.
Inoltre quando inserisco un indirizzo che dovrebbe essere solo per il gruppo Pubblicità automaticamente va anche nel gruppo Default. Credo sia giusto che venga tolto dal gruppo default oppure mi sbaglio? E la stessa logica vale anche per tutti i gruppi? Oppure vi è una tecnica per aggiungere solo ad un gruppo/i specifico/i?
Fatto questo poi associo i client ai vari gruppi a seconda del tipo di blocco che voglio dare.
Ho interpretato correttamente?
Grazie per l’attenzione, saluti
Ciao Carlo,
La prima cosa da fare prima di inserire le varie liste è la creazione dei gruppi (Ovviamente se lo hai già effettuato puoi saltare questo passaggio):
https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#Creazione-dei-gruppi
Quando inserisci un link o filtro in pihole, automanticamente và a finire nel gruppo di default, al momento non c’è un metodo che permetta l’inserimento in un determinato gruppo, ma sarà tuo compito andare a modificare l’assegnazione del gruppo o dei gruppi (eliminandolo da quello di default e assegnadone un altro a tuo piacimento) questo è spiegato nel relativo paragrafo: https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#associare-una-lista-a-un-gruppo
Di base/default (senza nessun azione da parte nostra) tutti i dispositivi collegati che sfruttano il pihole, hanno assegnato il gruppo di default (se hai seguito la mia guida ,saranno bloccati tutti i siti contenenti software malevoli o siti fake); è inoltre possibile assegnare a un determinato dispositivo anche determinati gruppi (ad esempio al tv puoi assegnare i gruppi pubblicità e smart tv, mentre al pc del lavoro il solo gruppo SENZA_NULLA per far in modo che non venga bloccato nessun tipo di traffico), quindi la risposta è si hai capito bene.
Ho aggiornato la guida inserendo il relativo Liste per bloccare programmi e script mining. Credo di averlo cancellato inavvertitamente in qualche aggiornamento precedentemente.
Ti ringrazio per la segnalazione.
Buongiorno Giovanni,
ti ringrazio per la guida, è stato fondamentale per settare al meglio il mio Pi-hole installato su LXC proxmox. Tutto funziona alla perfezione.
Unica cosa che non mi torna è la quantità di dispositivi che appaiono in Client. Ad esempio, non viene visualizzata la mia smart tv.
E’ normale? Devo aggiungerla io? Devo attendere più tempo perchè venga visualizzata?
Grazie
Ciao Enrico, sono contento che la mia guida ti sia servita;se hai configurato il tuo pihole a gestire anche il dhcp (l’assegnazione dell’indirizzo ip automatica sulla tua rete di casa), automaticamente tutti i dispositivi useranno i dns del pihole quindi troverai anche il tuo tv. Se invece non hai utilizzato tale opzione, dovrai forzatamente configurare il tv, impostando i dns manualmente e inserire l’indirizzo del tuo pihole.
Nota: Ti segnalo che alcuni dispositivi come ad esempio iphone di apple, oppure alcuni tablet cinesi, nascondondo il proprio mac andress quando si connettono in wifi, dovrai andare nelle impostazioni ed eliminare tale opzione, permettendo che si prensentino con il loro reale mac andress. Verifica che il tuo tv non usi questa tecnica non si sà mai.
Grazie per la pronta risposta.
Ho teminato di aggiornare le liste ai gruppi. Ho preferito fare due gruppi Parent Control uno relativo ai siti per adulti e gioco azzardo e uno per torrent e social.
Pensavo che per computer (desktop, notebook) è abbastanza intuitivo assegnare i gruppi.
Cosa analoga per smartphone e tablet. Mentre per le smart TV assegneresti solo il gruppo omonimo o anche altri.
Mi trovo un po’ in difficoltà per i dispositivi di domotica (telecamere interne e esterne, sensori vari, stazioni meteo, ecc.). Gradirei un tuo consiglio.
Grazie ancora per l’attenzione.
Un cordiale saluto
Sulla mia smart tv, visto che a volte uso il browser, ho preferito abilitare praticamente tutto, sta a te capire che uso ne fai e quindi decidere cosa abilitare. Per la domotica consiglio di abilitare oltre al gruppo default (che di base è già abilitato) aggiungere anche il gruppo di Tracking/Telemetria e quello multiplo.
Scusami mi sono dimenticato di domandarti l’uso del “Blocco multiplo”.
Verso quali client andrebbe utilizzato?
Grazie, saluti
Il gruppo Blocco multiplo, puo’ essere abilitato su dispositivi che effettuano sicuramente una navigazione su internet usando il browser (pc, smartphone, tablet, ipad etc.) e visto che bloccano anche una parte di traffico di tracciamento e telemetria, consiglio di abilitarli anche su dispositivi di domotica, amazon, google, smart tv etc.
Buonasera,
ho assegnato l’ip del raspberry sia come DNS primario che secondario sul router. Forse va riavviato?
Mi pare che funzionino le liste di controllo della pubblicità ma non quelle di parental control.
Quale potrebbe essere la motivazione?
Grazie
Sul router il discorso è complicato si parla di networking, comunque ricorda che anche lui è un dispositivo e anche lui fà uso dei dns. Esistono router con due o più pagine di configurazione dei dns quindi sia per la rete lan, sia per il wifi (per la banda 2,5ghz che 5ghz se non le hai in mesh), sia per il dispositivo stesso. Devi verificare di andare nella giusta pagina di configurazione e configurare i dns che vengono assegnati ai dispositivi collegati al router e si a volte è necessario riavviare il router per cancellare le connessioni già presenti verso i dispositivi in modo che vengano reimpostate.
Che dire, ottimo articolo. Utilizzo ormai da anni Pi-Hole con Unbound installato su un Raspberry Pi, al quale mi connetto sia a casa che fuori o all’estero tramite Wireguard. Non c’è niente di meglio che di Pi-Hole per la propria sicurezza, veramente un must.
Ho visto che non aggiorni il blog da anni e mi sono stupito quando ho visto che non c’è un articolo dedicato a Brave. Lo uso da qualche settimana al posto di Google Chrome e mi ci sto trovando davvero bene. E’ un browser basato su Chromium (quindi tutte le estensioni di Chrome funzionano in automatico, scaricabili dallo store). Tra l’altro ha un adblock (personalizzabile) integrato, che uso per avere un “filtro doppio” oltre a Pi-Hole. Consente addirittura di guadagnare navigando, grazie alla crypto integrata BAT. Secondo me è l’accoppiata perfetta per Pi-Hole! Un saluto.
Ciao Andrea,
Questo “blog” è aggiornatissimo, non capisco come fai a dire che non lo è da anni… basta guardare questa pagina e suo ultimo update di ieri 10/11/2022 per non parlare di quella di ublock o dell’ultimo lavoro effettuato con il blocco su Iphone/Ipad, etc.
Non ho creato un articolo sul browser Brave per vari motivi:
– Incomincio col dire che Brave come sai è basato su piattaforma Chromium che è Open Source ma come sai saprai, il principale (non l’unico) autore è Google che scrive il codice sorgente di Chromium e esso crea molte connessioni ai servizi di Google (come solo a titolo d’esempio il loro servizio di geolocalizzazione).
– Gli autori che creano browser basati su Chromium, come Brave (ma anche Ungoogled Chromium, Iridium, etc.), fanno moltissimi sforzi per rimuovere l’uso dei servizi specifici di Google, ma in pratica affermano di non poter garantire di esserci riusciti al 100%, quindi potrebbero essere rimasto codice che consente ancora a Google di acquisire i tuoi dati.
– Le recenti modifiche che sono ancora in corso sul codice sorgente di Chromium da Manifest V2 a Manifest V3, riducono le capacità di blocco degli annunci. Lo stesso “gorhill” sviluppatore di Ublock Origin, ha affermato che sarà difficile farlo funzionare al 100%, dovrà effettuare un lavoro molto certosino e non è detto che ci si riesca, crede che funzionerà ma con risultato molto ridotto rispetto ad ora, su browser basati su Chromium a causa di queste modifiche e suggerisce di passare a Firefox per le capacità di blocco degli annunci.
– Brave non permette una configurazione veramente personalizzata modificando e abilitando servizi e opzioni integrati nel browser (in alcune parti del codice, permettimi queto tipo di indicazione) come viene effettuato con Firefox visitando la pagina about:config (guarda la guida su questo stesso sito web).
– Brave integra un sistema di guadagno tramite la visualizzazione di pubblicità che non traccia l’utenza (è veramente così… è tutto da verificare) e tali script integrati nel browser sono al 100% disabilitati anche se tale opzione risulta disabilitata o Brave effettua comunque un tracciamento dell’utenza (altrimenti come fa a tenersi in vita, visto l’enorme lavoro che deve effettuare)?
– Tor Browser è basato su Firefox ed è l’unico reale browser a difendere la privacy dell’utente (viene usato da hacker per non farsi rintracciare e questo dovrebbe farci riflettere).
Ci sarebbe da scrivere ancora tanto, ma mi fermo qui, se cerchi altre info basta fare una ricerca su comunità libere come ad esempio Reddit (ovviamente c’è ne sono anche altre), in modo da farti un’idea sullo stato attuale e verificare le mie indicazioni.
Bisogna far in modo che gli utenti usino Firefox per non avere come il passato un browser monopolista come Internet Explorer (Microsoft ha lasciato il “suo” progetto per la multa ricevuta dall’antitrust e per i pochi guadagni ricevuti dal software dopo tale multa ed è passata Google che ne ha approfittato e ne stà approfittando, il suo browser ora è usato al 70-80% e diciamolo è diventato monopolista sugli smartphone Android dove Chrome è installato di default e gli utenti “medi” usano solo quello, ignorando le altre opzioni presenti).
Buongiorno, ultimo disturbo. Spero.
A tuo avviso il modem-router (che è di mia proprietà e quindi posso personalizzarlo a piacere) deve essere riavviato dopo le modifiche del DNS.
Grazie e buona giornata
Buongiorno a te, si riavvialo dopo aver effettuato le modifiche
Buongiorno,
sul router ho un solo posto dove inserire i DNS ovvero fra le “lan settings” e quindi non dovrei sbagliare.
Ho riavviato il router e mi pare che ad esempio il blocco della pubblicità avviene correttamente (e questo mi pareva avvenisse anche senza il riavvio) mentre non mi pare funzioni il blocco del parental. Ovvero se tento ad esempio di accedere ad un sito porno non dovrebbe scattare il blocco oppure quale altro meccanismo dovrebbe attuarsi? Se faccio una ricerca con google vedo una serie di risultati e se clicco su uno di questi accedo senza problemi al sito pornografico…
Grazie in anticipo per i suggerimenti.
Ti consiglio di verificare due cose:
– Di aver inserito i link (i filtri) del parental control nel gruppo Parental Control
ad esempio verifica che https://blocklistproject.github.io/Lists/porn.txt sia associato al Parental control
– Verifica sul pihole che il dispositivo dove stai testando il blocco abbia tale gruppo assegnato/abilitato
Se è un pc o mac, devi cancellare la cache dns (ad esempio su pc windows basta eseguire il comando: ipconfig /flushdns).
Ricorda che i risultati dei motori di ricerca come google non possono essere cancellati, ma quando proverai a visitare un sito porno ad esempio, il tuo browser ti indicherà che non è possibile connettersi al sito web o al server.
Grazie.
Ho compreso che il DNS deve essere anche sul dispositivo e non solo sul router.
Inoltre utilizzando ip fissi dovrei settare ex novo i DNS di tutti i dispositivi come computer, telefoni e tablet …
Se il dispositivo ha un qualsiasi DNS bypassa quanto fornito dal router …
Devo rimboccarmi le maniche …
Grazie molte per la guida e tutti i suggerimenti.
Ciao Carlo, come ti avevo indicato precedentemente ti conviene usare la funzione dhcp del pihole per assegnare gli ip e i dns ai dispositivi, in pratica ti basta disattivare la funzione sul modem e attivarla sul pihole, andando su setting e poi dhcp, li’ inserire il range di ip ( ad esempio mettendo come ipotesi che il tuo modem/router abbia l’ip 192.168.1.1 dovrai impostare questi valori sul pihole from 192.168.1.2 to 192.168.1.253 , router 192.168.1.1 qui poi potrai impostare anche ip statici come sul modem/router). Se su un dispositivo (il tv o il tablet) avevi assegnato un dns manuale per la connessione wifi, dovrai impostarlo su automatico, gli verrà assegnato automaticamente quello del pihole. Fammi sapere se ti serve aiuto.
Buonasera,
è possibile che il modem-router determini in maniera autonoma e automatica i DNS relativi alla connessione internet mentre permette di definire i DNS per il lato LAN.
Molto probabilmente utilizza i DNS del provider che nel mio caso è Fastweb.
Pur essendo il modem-router di proprietà non ho trovato alcun posto dove poter modificare il DNS presentato nel riquadro della connessione internet.
Grazie per l’attenzione, saluti.
Grazie per la tua risposta alla mia del 12 Novembre 2022 alle 19:47.
Tuttavia ho una situzione abbastanza complessa con circa centinaio di dispositivi inventariati di cui più di una quarantina attivi.
Per alcuni ho impostato l’ip fisso sul dispositivo per altri ho definito un’address reservation a mezzo router.
Un po’ di lavoro lo avevo già fatto quando un paio di anni fa avevo attivato Pi-Hole su un raspberry.
Ora grazie anche alla tua guida e ai tuoi suggerimenti ho terminato il lavoro impostando il DNS del raspberry sul router e impostando lo stesso DNS su quei dispositivi ai quali avevo assegnato un ip fisso sul dispositivo stesso.
Mi è rimasto solo il dubbio che ti ho scritto nel messaggio 12 Novembre 2022 alle 21:08.
Grazie e buona domenica.
Purtroppo non ho capito quale sia il tuo dubbio. Comunque ti informo che di base (di default) il modem/router sia che sia in comodato d’uso (o comprato in rate da 24 mesi o più) dell’operatore di telefonia sia di proprietà dell’utente (comprato dall’utente), esso fornisce i dns dell’operatore telefonico a tutti i dispositivi. Quelli dell’operato di norma non fanno modificare l’uso dei dns dell’operatore, mentre quelli “comprati” lo permettono.Tu quale modello possiedi, si potrebbe fare una ricerca del manuale per capire in quale pagina/opzione mettere mano per effettuare la modifica che chiedi, anche se sinceramente come ti ho indicato, farei fare tutto al pihole, in modo creare e quindi avere nel tempo un backup di tutta la confiogurazione della tua rete.
Sempre grazie per le risposte.
Possiedo un modem-router Tp-Link Archer VR900 ed inoltre il provider che nel mio caso è fastweb mi ha fornito un ip fisso.
Ho provato più volte a guardare il manuale del router tuttavia ho trovato solo la modifica in caso di ip dinamico fornito dal provider.
In conseguenza di ciò im modem -router non può essere messo sotto laprotezione di Pi-Hole.
Almeno a me pare così …
Saluti e grazie
Ho dato un’occhiata al manuale del modem/roter Tp-Link Archer VR900 qui esattamente https://static.tp-link.com/1910012121_ArcherVR900(EU)(AU)_V3_UG.pdf devi andare a pagina 79 al paragrafo 14.1.2. Use the Modem Router as a DHCP Server qui è spiegato come impostare i dns sul router, dovrai inserire l’indirizzo del tuo pihole/raspberry (i dispositivi wifi useranno la stessa configurazione), oppure disattivare il dhcp server e farlo fare al pihole come ti ho spiegato precedentemente.
Buonasera Giovanni,
sì, ho fatto subito quella variazione e funziona però il router ricevento le info internet dal provider imposta come DNS quelli di Fastweb e quelli non sono modificabili tanto che se vado in Tools|Network come client che non usa Pi_hole vi è il solo il modem router.
Una volta che Pi-Hole diventa così importante per la vita della LAN domestica è necessario fare image copy della SD card del raspberry.
Non mi pare di aver visto nel software di Pi-Hole una funzione che faccia al caso e quindi andrà spento il raspberry in un momento che non blocca l’attività e fatta opportuna copia. E’ corretto?
Grazie e buona serata.
Ciao Carlo, se l’operatore forza il suo dns, devi per forza far lavorare il raspberry e il pihole come DHCP. La configurazione del pihole è possibile salvarla dal menu setting poi teleporter e quindi backup. Tale procedimento ti consiglio di farlo ogni qualvolta apporti modifiche sui gruppi,assegni ip statico ai device o inserisci/togli i filtri. Se intendi avere un backup completo già pronto che contenga il sistema operativo raspbian os e pihole già installato (in caso di guasto in modo in pochi minuti riesci ad avere una micro-sd pronta all’uso) ti conviene spegnere il raspberry e fare un backup completo della micro-sd, creando un’immagine usando un programma come win32diskimage: https://sourceforge.net/projects/win32diskimager/files/Archive/Win32DiskImager-1.0.0-binary.zip/download oppure Balenaetcher: https://www.balena.io/etcher/ o ancora Rufus: https://rufus.ie/it/.
Effettuato update il 15/11/2022 14:05
Grazie per tutti i consigli.
Non se facendo fare tutto il lavoro a Pi-Hole anche il router finirebbe sotto il controllo di Pi-Hole stesso. Ci farò un pensiero …
Win32DiskImager ho provato a scaricarlo ma non funziona ovvero lo lancio ma l’applicativo non parte mai e neppure lo trovo in Gesione attività e quindi non comprendo cosa succeda.
Ho trovato questo tool: SD Imager (https://sourceforge.net/projects/sdimager/) e gradirei sapere cosa ne pensi.
Un cordiale saluto
Ciao Carlo, impostando il dhcp sul pihole, il router non finisce sotto il controllo del Pihole/raspberry in quanto lascerai sempre il suo indirizzo libero (ad esempio 192.168.1.1 oppure 192.168.0.1 etc.).
Non ho usato il software da te segnalato, appena ho l’occasione, lo provo e ti faccio sapere. Hai provato Balenaetcher?
Buonasera Giovanni,
mi capita ad esempio su alcuni siti che non si vedano le foto tipo quella del profilo di google oppure accune immagini sul sito di aliexpress.
Cambiando in DNS in 8.8.8.8 tutto è visibile.
Cosa può essere successo a livello di Pi-Hole, cosa devo indagare e che azioni posso intraprendere?
Grazie, saluti
Ciao Carlo, io ho tutti i filtri indicati su questo sito web e non riscontro i problemi da te elencati. Ti consiglio di controllare di aver inserito il filtro energized versione blugo: https://block.energized.pro/bluGo/formats/hosts.txt se invece sono presenti il filtro blu o basic di energized, eliminali. Devi controllare aver implementato tutta la parte della whitelist presente su questa pagina come la whitelist di anudeepND e anche l’elenco dei domini/server da inserire nella whitelist in base al servizio o console utlizzati.
Se ha inserito altri filtri(non presenti su questo sito web), per effettuare controlli devi visitare la pagina querylog del pihole, aprire in altre schede i siti che danno problemi, aggiornare la scheda dove è presente la querylog e trovare le voci Blocked (gravity) per sbloccare i relativi domini; se sei curioso puoi vedere anche lo storico cliccando sulla voce “show all” vicino alla scritta Recent Queries (showing up to 100 queries).
Ciao Giovanni,volevo avvisarti che la lista “https://raw.githubusercontent.com/cbuijs/shallalist/master/spyware/domains” non è più raggiungibile
Ciao Antonio, la lista in questione è già stata eliminata qualche aggiornamento fà (ora non ricordo di preciso la data), in quanto è stata dichiarata chiusa dall’autore.
Update: Ti consiglio di dare un’occhiata alla sezione blacklist per effettuare un’aggiornamento (per eliminare dal pihole quelle non presenti e aggiungere quelle nuove).
Ciao Giovanni,hai ragione l’avevi già eliminato,non sò perchè io invece lo avevo ancora nella lista,eppure controllo il tuo forum tutti i giorni per restare sempre aggionato,mi sarà sfuggito
ciao Giovanni,
e per il discorso doh? da quando è stato implementato sui browser non riesco più ad utilizzare pihole…
Ciao Danilo, scusa ma non ho capito la domanda, cercando quindi di andare a intiuto, non riesci ad accedere al pihole in quanto hai attivato il protocollo https sul browser (forzato) per qualsiasi sito web visitato?
ciao Giovanni,
no, da quando hanno abilitato il Dns Over Https su tutti i browser, le richieste non sono più in chiaro, ma criptate e ovviamente pihole non le vede. Unica soluzione che ho trovato è abilitare una specie di proxy…
L’opzione “dns over https” che si abilitata sui browser come: Firefox, Chrome, Edge, etc, permette di usufruire direttamente sul browser di dns diversi da quelli forniti dal sistema operativo o modem o pihole, su cui sono installati come: pc, mac, linux, smartphone, ipad, tablet, etc.
Se noti bene oltre ad abilitare tale funzione, puoi scegliere il provider come: nextdns, cloudflare, google etc.
Ti consiglio quindi di disabilitare tale funzione se non vuoi che il browser usi un provider diverso dal pihole o da quello da te scelto.
Ovviamente in tutto questo sono presenti dell’eccezioni, dove tale opzione/funzione anche se abilitata non funziona, riporto quelle che reputo più importanti e che forse alcuni di voi reputeranno banali:
1 – Se si usa un PC (aziendale o meno) che usa un proxy, ed è collegato a una rete aziendale.
2 – Se si usa una Vpn (Privata o Lavorativa o etc.).
3 – Se sul proprio smartphone/cellulare è installato Intune di microsoft che crea una vera e propria partizione (aziendale o privata), quindi un ambiente chiuso dove le app al suo interno non sfrutteranno DNS diversi da quelli forniti dalla Sim o eSim dell’operatore (WindTre, Tim, Vodafone, Iliad, Fastweb, Verymobile, Postemobile etc.)
4 – Alune wi-fi pubbliche come nei centri commerciali, ospedali, etc. o private, non permettono l’uso di dns diversi da quelli forniti dalla connessione stessa (esistono script implementati lato server, router, etc., per forzare tale scelta).
5 – Se si usa il Tor browser e la sua relativa rete.
Nota: Ti segnalo che il pihole è abilitato ad usare il DNSSEC per criptare i dati e quindi ti consiglio di scegliere un provider che ha tale opzione come ad esempio: Cloudflare o Quad9 o OpenDNS, ma ne esistono tanti altri.
Buonasera Giovanni,
a seguito di un problema sul modem-router sono stato bloccato un paio di giorni alla ripresa della linea la presenza del DNS di PiHole sui computer determina che non si riesce ad accedere ad alcuna pagina internet e quindi devo avvalorare il DNS con il classico 8.8.8.8.
Ho eliminato il DNS di PiHole anche dal modem router.
Cosa potrebbe essere successo e cosa devo analizzare?
Grazie, saluti
Buongiorno Giovanni,
eventualmente mi consigli di rifare tutto ex novo?
C’è una modalità per svuotare pihole oppure conviene disinstallare l’applicazione?
Grazie, saluti
Ciao Carlo, sinceramente ti consiglio di fare tutto nuovamente dall’inizio, in quanto non è assolutamente normale che il traffico si blocchi in questo modo e che tu abbia questi problemi (è già successo precedentemente), credo che sia anche un problema di assegnazione ip sul tuo raspberry. Partendo nuovamente dall’inizio potrai verificare tutto, e per la configurazione del pihole inizierei proprio dall’assegnazione dell’ip.
A fine lavoro, con l’insermento delle liste, regex, whitelist, etc e ovviamente cosa importante dopo che aver constatato che tutto funziona, effettua un backup tramite il pihole, andando su setting, poi teleporter e quindi clicca su backup, in modo che in futuro puoi ripristinare il tutto velocemente in caso di problemi.
Ciao Giovanni. Innanzitutto complimenti per il tutorial e per la dedizione al suo aggiornamento. Epico!
Domanda: un paio di giorni fa ho effettuato l’update in quanto me lo segnalava. Al termine tutto bene. Ho rimosso alcune liste che non erano più in uso (e che hai prontamente aggiornato anche tu qui) ed infine ho proseguito la navigazione. Accedendo però poco dopo a Gmail mi dava errore il browser. Verificando, il dominio era bloccato da PiHole. Quindi ho provveduto a metterlo in whitelist e tutto è tornato come prima.
Ora mi chiedo: è possibile capire in quale delle varie liste di domini è stato inserito il dominio di Gmail senza doverle, ovviamente, aprire una per una?
Grazie
Ciao Luca, purtroppo non sono riuscito a trovare un metodo per fare una query sul db del pihole, che mi indichi il sito che contenga il dominio incriminato mail.google.com. Appena ho un po di tempo effettuo delle verifiche per capire quale sia il sito per effettuare una segnalazione a chi lo gestisce.
Ho effettuato la ricerca con i file scaricati dai link presenti ieri pomeriggio e purtroppo sono arrivato tardi è già stato risolto. Il problema è rientrato, mi spiace non averti potuto aiutare indicandoti il sito web che aveva un falso positivo.
Non ti preoccupare. Grazie mille Gio. Continua così 😉
Ciao Giovanni. Ho risolto! Ho trovato il tool nella Gui di pihole. A sinistra seleziona Tools -> Search ADlists
All’interno inserendo una parte del dominio mostrerà (con molta calma) dove è presente quel dominio, in quali liste ed eventualmente anche in quali whitelist. Ho scoperto ad esempio che anche google drive è bloccato…lol
Ciao Luca, Io andavo da linea di comando e non sono riuscito a trovarlo; grazie dell’info. Ho effettuato una ricerca sul dominio “drive.google.com” e non risulta bloccato (se fai la ricerca sono ovviamente presenti i domini falsi/fake di google drive come solo a titolo d’esempio: drive.google.com.it-barcelona.com).
Ricorda che ad ogni aggiornamento della versione software del pihole, devi impostare l’aggiornamento automatico e giornaliero qui
Ciao Gio, si l’aggiornamento giornaliero automatico è impostato. Mi sono reso conto comunque che il proglema (drive.google.com e basta) era presente sulla lista aggiornata il 26 gennaio
Update 26/01/2023: https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/Phishing-Angriffe
Rimuovendola e aggiornando Gravity, Drive è tornato a funzionare (senza che lo mettessi in whitelist)
Forse avevo un aggiornamento vecchio della lista che per errore (?) aveva dei domini validi.
Grazie mille 😀
Con lo strumento di ricerca dei domini nelle liste, sto verificando alcuni siti noti presenti nelle liste. AD esempio wetransfer.com, noto sito di condivisione di file di grandi dimensioni è blacklistato in http://www.taz.net.au/Mail/SpamDomains
wetransfer.com risulta bloccato in quanto è stato usato (e lo viene ancora usato ), per molte campagne di phishing e malware, fai una ricerca tu stesso con google,duckduckgo o altri motori.
Buongiorno Giovanni, ho poi risolto il problema che ti avevo posto a dicembre. Tutto è ripartito in maniera automatica dopo qualche tempo.
Invece oggi ti scrivo per questa situazione:
– ho effettuato l’aggiornamento del raspberry e successivo riavvio di macchina;
– quando ho fatto ripartire l’interfaccia grafica ho notato che la storia delle query e attività partiva da oggi alle 13.00, era sparito tutto il pregresso.
Cosa potrebbe essere accaduto?
Grazie, saluti
Ciao Carlo, se hai effettuato l’aggiornamento del raspberry, quindi del sistema operativo raspbian a una versione successiva, il pihole trovandosi alcuni pacchetti essenziali aggiornati per il suo funzionamento effettua una manutenzione interna e relativa pulizia dei log.
Personalmente è capitato che effettuando l’aggiornamento della sola versione del pihole (no raspbian) lo script di aggiornamento riscontrasse degli errori su dei file e riparandoli ha effettuato una pulizia dei file di log che risultavano corrotti. La cosa importante che posso segnalarti è che prima di effettuare un qualsiasi tipo di aggiornamento è sempre utile effettuare un backup della configurazione del pihole e del raspberry, per non perdere tutte le configurazioni personali.
Una guida completa, ben fatta, facilmente comprensibile e che viene aggiornata.
Ottimo lavoro, ti meriti qualche caffè.
…ce li hai su paypal.
Grazie!
Ciao Angelo, sono veramente contento che la guida ti piaccia e ti ringrazio vivamente per la donazione.
Ciao Giovanni,grazie per aver ordinato la sessione 4) Liste per traking/telemetria server Microsoft (Windows/Office/etc.) volevo solo avvisarti che anche la lista https://raw.githubusercontent.com/schrebra/Windows.10.DNS.Block.List/main/hosts.txt blocca gli aggiornamenti windows
Ciao Antonio, ok allora provvedo a spostarla
Ciao Giovanni,da 3 giorni pihole non riesce ad aggironare la lista “https://myip.ms/files/blacklist/general/latest_blacklist.txt” ovviamente il link da firefox viene visualizzato e risulta aggiornato ad oggi “# on Tue, 28 Feb 2023 07:00:39 +0000 Last 10days Blacklist IPs”
Ciao Antonio, segnalo il link come offline, credo abbiano bloccato l’accesso tramite lettura del client (tra cui rientra il pihole), ho effettuato alcuni test ricevendo l’errore. Ho inviato una segnalazione, se non risolvono provvederò ad eliminarlo.
Ciao! sto cercando il modo di bloccare con pihole l’app di netflix sui cellulari, hai qualche suggerimento?
Ciao Alberto, Certo, crea un gruppo chiamato: Block_Netflix, poi inserisci questa lista come blacklist: https://raw.githubusercontent.com/bubusan80/whitelist_hosting_public/main/In_base_al_servizio/Netflix.txt e associala al gruppo indicato prima. A questo punto associa il gruppo ai cellulari interessati.
Nota: ricorda che sia per cellulari Android (Samsung, Xiaomi, Sony, Nokia etc.) che Iphone devi andare nelle impostazioni e nella specifica connessione wifi (quindi la connessione wifi di casa data dal tuo router usata a casa dove è installata il pihole), devi far usare il mac originale del dispositivo e non quello creato casuale.
Ciao Giovanni,queste tre liste,non sono più raggiungibili: “https://www.taz.net.au/Mail/SpamDomains”;”https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt”;”https://cert-agid.gov.it/download/log4shell-iocs-raw-domain.txt”.
Ciao Antonio, il link coretto della prima è:
http://www.taz.net.au/Mail/SpamDomains
le altre 2 segnalate mi funzionano senza problemi.
Ciao Giovanni,si scusami http no https firefox mi aveva coretto il link ma su pihole c’era http,comunque ora funzionano,non erano raggiungibili da 3 giorni,cosi ho preferito avvisarti,ora risulta vuota “https://cinsscore.com/list/ci-badguys.txt” forse si starà aggiornando,scusami ancora.
Su questo link https://cinsscore.com/list/ci-badguys.txt che è diverso dagli altri 3 inviati prima, hai ragione risulta vuota, aspettiamo qualche giorno, se rimane cosi’ la segnalo come da eliminare.
Aggiornamento del 27/03/23: Si è ripristinata tutto ok.
Ciao Giovanni,mi spiace dovermi ripetere ma dopo il 24 marzo,le tre liste: “https://cert-agid.gov.it/download/log4shell-iocs-raw-domain.txt”;”http://www.taz.net.au/Mail/SpamDomains” e “https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt” non sono più risultate acessibili,anche aprendo i link su firefox mi rimanda il messaggio impossibile contattare il server
ok,sono ritornato online…dev’essere un problema dei server allora,dovrò aggiornarmi manualmente verso quest’ora,perchè alle tre di notte o durante la giornata a me non partono
Io ho l’aggiornamento delle liste alle 5.00 di mattina e non riscontro questo problema.
A questo punto cambia la riga del file
/etc/cron.d/pihole
con il seguente valore:
15 21 * * 0-6 root PATH="$PATH:/usr/sbin:/usr/local/bin/" pihole updateGravity >/var/log/pihole/pihole_updateGravity.log || cat /var/log/pihole/pihole_updateGravity.log
In questo modo le liste verranno aggiornate alle ore 21.15 di ogni giorno.
Buongiorno Giovanni,
nella mia rete domestica ho un computer dove è installato FileZilla Sever al fine di scricare le immagini delle cam di sorveglianza. Ho notato che alcuni indirizzi ip estranei tentano l’accesso ma poiché ho abilitato il filtraggio ip vengono bannati.
Tramite PiHole è possibile bloccare prima queste intrusioni?
Avevo pensato alla black list del managment dei domini però dovrei inserire tutti gli ip bannati e fare aggiornamenti continui.
Hai qualche altra soluzione migliore da suggerire.
Grazie in anticipo, saluti.
Carlo
Ciao Carlo, il pihole non è la soluzione in questo caso, purtroppo il problema da te esposto non è di facile soluzione e la sua esposizione ha molte lacune:
1 – E’ necessario sicuramente aggiornare le telecamere con l’ultimo firmware disponibile (se sono cinesi è un bel guaio) e tenere aggiornato il pc sia livello di sistema operativo sia di software installato come filezilla.
2 – Hai abilitato delle porte sul tuo router per accedere dall’esterno per quando sei fuori casa (se hai abilitato delle porte sul tuo modem/router e il firewall è anch’esso abilitato, anche li’ dovresti riscontrare attacchi e blocchi) ?
3 – Le telecamere hanno solo il trasferimento tramite ftp, non possiedono un sistema di invio email tramite smtp, o usano un sistema di registrazione locale e quindi è il tuo pc ad essere attaccato?
Per non dilungarmi troppo e portare a termine il discorso e senza troppi fronzoli: è necessario installare un firewall serio sulla tua rete e creare delle regole, se vuoi veramente essere protetto, visto gli attacchi ricevuti . (Per usare il tuo raspberry e installare ad esempio openwrt come firewall insieme al pihole dovresti usare Docker e creare dei micro-servizi ma è veramente complicato se non hai dimestichezza. Conviene di più prenderne uno nuovo, ma per il prezzo che costa un nuovo raspberrypi, fai prima a comprare un firewall fisico che abbia un software aggiornabile da mettere dietro al modem/router di casa)
Buongiorno Giovanni,
ti ringrazio per la risposta.
Uso delle telecamere della Netatmo (https://www.netatmo.com/it-it) che hanno un loro software su app smartphone che su web per la visibilità sia in locale che in remoto.
I filmati delle telecamere sono memorizzati su una SD che una volta piena viene sovrascritta e quindi si può scegliere se salvare su Dropbox oppure su FPT proprio. Personalemente ho scelto questa seconda soluzione usando FileZilla Sever (viene utilizzata la porta 21 potrebbe essere quello il problema?). Da sempre ho attivato il filtro degli ip che possono lavorare con FileZilla.
Il firewall sul modem-router è attivo.
Ho visto che sul computer dove è installato FileZilla Server che il firewall era disattivato.
Il problema poteva dipendere da questo ora l’ho attivato e questo dovrebbe far scemare il problema.
Grazie e saluti
Carlo ho notato che non mi hai risposto alla domanda 2, ma è veramente necessario verificare se hai aperto delle porte sul modem/router per collegarti da remoto; effettuando un veloce controllo sul sito web che hai lasciato, ho riscontrato che è necessario aprire le porte 500 & 4500 UDP, ti risultano aperte?. Se non lo sono, devi verificare se le porte vengono aperte automaticamente tramite upnp (in modo che funzioni la connessione alle telecamere quando sei fuori casa).
Per quanto riguarda la connessione ftp sulle telecamere, ti consiglio di abilitarla e disabilitarla solo quando fai il backup dei file, in modo da non far rimanere la porta 21 sempre aperta; inoltre se hai un firewall dove abilitare la sola famiglia ip interna (come ad esempio 192.168.0.0/16) a far accedere alla porta 21 degli indirizzi delle telecamere è veramente ottimo. Attivare un firewall software sul pc dove hai installato applicativi server come filezilla (anche se sarebbe doppio avendo quello hardware) è sempre un ottima idea , questo per capire e tenere sotto controllo il pc e il relativo software stesso (il sw potrebbe anche lui usare l’upnp per aprire le porte automaticamente sul router).
Buongiorno Giovanni,
le porte 500 e 4500 non sono espressamente aperte sul router.
Mi sembra che FileZilla attivi la porta 21 solo quando memorizza il filmato ma poi chiude la sessione.
Sul firewall del modem-router non mi ho visto la possibilità di inserire regole. Forse le potrei inserire fra le regole del firewall del computer ove è installato FileZilla.
Grazie, saluti
Buongiorno a te, credo che ci sia un’opzione che sia abilitata sulle telecamere che permetta di collegarsi tramite ftp (è tale opzione ad aprire la porta 21 sulla telecamera, di base ogni dispositivo ha tutte le porte chiuse) dovresti trovarla a disabilitarla. Tale opzione và abilitata solo quando effettui il backup tramite filezilla. Se non è cosi’ devo effettuare una lettura del manuale per capire come funzionano.
Buonasera Giovanni,
si l’app della telecamera ha una sezione dedicata al salvatoggio dei filmati su ftp dove va indicato l’ip del server la porta e la pw.
Se la disabilito non salvo più le immagini.
Eventualmente dovrebbe essere possibile cambiare porta.
Cosa consigli?
Grazie
Ciao Carlo, ho letto il manuale sul sito web e alcuni forum al riguardo, il problema purtroppo è il protocollo FTP della tua telecamera (esterna o interna che sia) che apre la porta 21 sul router tramite upnp (o un’altra se decidi di cambiare numero di porta).
Ho letto sul sito che le telecamere non supportano neanche il protocollo SFTP o FTPS. A livello di sicurezza cambiare porta serve a poco perchè sarà aperta all’esterno della tua rete casalinga e senza un protocollo sicuro ,sei alla merce di attacchi. A questo punto le soluzioni sono solo due:
1 – Possedere un firewall (anche installato su un altro raspberry o orapge pi o etc) acceso 24/24 che instradi la porta FTP scelta (meglio cambiare la 21) solo sulla tua rete interna e bloccata verso l’esterno.
2 – Oppure ti consiglio di disabilitare completamente FTP e usare dropbox che lo stesso sito web del costruttore delle telecamere suggerisce come alternativa.
Buonasera Giovanni,
per semplificare le cose ho deciso di usare Dropbox.
A suo tempo mi avevi suggerito di utilizzare la gestione DHCP di PiHole e i tempi sarebbero diventati maturi.
Immagino che sia sufficiente disabilitare il DHCP su l modem-router e impostare le regole su PiHole.
Per gli indirizzi riservati ho du domande da porti:
1. ci sono limiti nel numero di indirizzi riservati che si possono definire
2. se detti indirizzi sono già presenti nell’apposita maschera del modem-router devono essere cancellati oppure è indifferente anche se saranno presenti in PiHole
Grazie in anticipo per le risposte, buona serata
Ciao Carlo,
Se NON utilizzi un modem/router di proprietà del tuo operatore telefonico (ISP), la risposta è Sì.
Basta semplicemente disattivare il DHCP e attivarlo sul pihole; altrimenti sarà necessario controllare il modello (si trova sull’etichetta attaccata al modem nel lato posteriore) in base ad esso, potrenne essere necessario effettuare delle piccole modifiche alla configurazione, sia del modem che del pihole quindi se ti trovi in questo caso e ti serve aiuto, ti consiglio di fornirmi il modello in tuo possesso, cercherò di aiutarti al meglio effettuando delle ricerche e leggendo il manuale.
1- Per quanto riguarda i limiti, vale la stessa regola del modem/router in tuo possesso e cioè i dispositivi che si possono collegare sono 252 ma devi togliere anche il pihole stesso quindi 251, (in questi esempi che riporto si presuppone che ip del pihole è l’indirizzo successivo a quello del modem, quindi gli indirizzi utilizzabili sono dal 192.168.1.3 a 192.168.1.253, oppure dal 192.168.0.2 a 192.168.0.253, oppure dal 192.168.2.3 a 192.168.2.253 o ancora dal 10.0.0.2 al 10.0.0.253, etc.)
2- Le configurazioni del IP statico “di default” possono rimanere sul modem/router con il dhcp disattivato, ma ovviamente ci sono sempre delle eccezioni (dipende dal modello) dove si rende necessario cancellare tutta la lista degli ip statici, per poter disattivare il dhcp.
Buongiorno Giovanni,
come provider ho Fastweb e dalla scorsa settimana ho la fibra di tipo FTTH con il loro modem Nexxt.
Non riesco al momento ad utilizzare il mio modem personale perché nicchiano nel darmi assistenza per il cambio. Qualora si decidessero il mio modem sarà un Tp-Link Archer VR1210v.
Però ora sta funzionano il Nexxt.
Grazie in anticipo per ogni consiglio che mi dai e mi darai.
Buona giornata
Ciao Carlo,
La risposta che ti sto dando ovviamente segue la configurazione standard e non prevede che tu abbia effettuato modifiche al modem o agli indirizzi ip del modem.
Nel modem Nexxt di Fastweb sarà necessario collegarti alla pagina di configurazione del modem ed effettuare quest’operazione :
andare su
impostazioni di rete -> impostazioni avanzate -> internet -> Lan
qui devi segnarti (copiarti) questi dati:
1 – l’indirizzo ip presente nella voce
Inizio intervallo indirizzi ip
Di base l’indirizzo è 192.168.1.50
2 – l’indirizzo ip presente nella voce
Fine intervallo indirizzi ip
Di base l’indirizzo è 192.168.1.250
Ora bisogna controllare quale sia l’indirizzo ip del router per farlo bisogna usare un pc collegato diretamente e in lan al modem Nexxt ed effettuare il comando :
ipconfig (se hai windows, se possiedi altri sistemi operativi linux o mac la procedura cambia, scrivimi un commento nel caso) e leggere l’indirizzo gatway predefinito, segnati e copiati
anche questo dato (di default sarà 192.168.1.253).
Ora in questa schermata dovrai disattivare il dhcp del modem Nexxt di fastweb.
Adesso collegati alla schermata del pihole e nel menu scegli la voce setting poi la voce DHCP e qui abiliterai la voce DHCP server enabled e metterai i valori
Form: 192.168.1.50 (Questo valore è preso del modem Nexxt sulla voce Inizio intervallo indirizzi ip)
To: 192.168.1.250 (Questo valore è preso del modem Nexxt ulla voce Fine intervallo indirizzi ip )
e su router 192.168.1.253 (valore preso dal gatway predefinito, non mettere questo se diverso)
Buongiorno Giovanni,
questa segnalazione su PiHole diagnosis cosa comporta:
2023-06-23 09:35:18 LOAD Long-term load (15min avg) larger than number of processors: 5.2 > 4
This may slow down DNS resolution and can cause bottlenecks.
Se comprendo bene rappresenta un rallentamento.
Come si può risolvere?
Grazie, saluti
Questo errore rappresenta un carico eccessivo e appena leggermente superiore al numero di core del processore presente sul raspberry non indica necessariamente problemi immediati, ma è da tenere d’occhio. Se appare spesso è necessario capire se ci sono una miriade di query presenti da qualche device oppure se c’è un carico eccessivo quando viene effettuato l’aggiornamento delle liste, oppure ancora se c’è un carico eccessivo dovuto a qualche processo o software presente sul raspberry.
Buongiorno Giovanni,
grazie per le risposte.
L’indirizzo del modem-router Nexxt è 192.168.1.254 e diventa indirizzo del gateway predefinito.
Se disabilito il DHCP di Nexxt perché poi dovrei rispettare l’intervallo degli indirizzi assegnati in maniera dinamica da Nexxt stesso. Mi parrebbe più giusto definire un mio range di intervalli da assegnare dinamicamente. Anche perché quel range lo avevo cambiato e avevo inserito anche un certo numero di indirizzi ip riservati.
Ho scelto di inserire tutti i dispositivi che di solito sono collegati assegnando loro un ip riservato.
Ho disattivato il DHCP del Nexxt e mi pare che funzioni anche se al momento non vedo nel “Currently active DHCP leases” tutti gli ip che ho definito e che a mio avviso dovrebbero essere attivi.
Per la segnalazioen del raspberry ho notato che non accade da diversi giorni.
Grazie, saluti.
Ciao Carlo,
la mia risposta precedente come segnalato è basata su dati di default presenti sul modem, questo per evitare anomalie e/o errori e trovare facilmente una soluzione, ma ovviamente con le dovute conoscenze, ognuno è libero di inserire i parametri e range ip, a suo piacimento.
Per quanto riguarda i dispositivi non presenti nella parte dhcp leased non devi preoccuparti ci penserà il dhcp del pihole ad aggiornare alcune variabili presenti nei dispositivi che non vengono visualizzati; a tal proposito ti consiglio anche di modificare il parametro
Lease time in hours
inserendo il valore: 6
Questo farà in modo di liberare risorse quando un dispositivo come un cellulare non è in casa e quindi è fuori range del wifi (dopo più di 6 ore).
Giusto per informazione anche se tu credo lo sappia (ma serve anche per altri lettori del sito web) gli indirizzi statici da assegnare
ai dispositivi devono essere inseriti nella parte Static DHCP leases configuration.
Buongiorno Giovanni,
una curiosità, ho installato pi-hole in una struttura ricettiva, dove si connettono nella rete principale i miei familiari con 2 minorenni e nella rete ospiti i clienti dell’hotel. Il tutto è gestito da un fritz box. Come posso impostare che chi si connette alla rete principale può avere alcune limitazioni e chi utilizza l’altra rete ha altri filtri, senza che devo scegliere io a quale gruppo associarli.
Grazie mille.
Buongiorno Giacomo, inizio con dire che il pihole non permette di dividere le connessioni e assegnare i gruppi agli ip, in pratica: non è un router.
Ti suggerisco per evitare problemi di sicurezza e hackeraggio sui tuoi dispositivi e quelli di famiglia, di prendere un altro router dove venga creata un altra wifi con una diversa famiglia di ip rispetto a quella che possiedi sul fritzbox (ad esempio tutte e due con subnetmask 255.255.255.0 e ip in assegnati in questo modo 10.1.1.1 a 10.1.1.253 per il nuovo router e 192.168.1.1 e 192.168.1.253 per fritxbox) in modo che i dispositivi delle due famiglie di ip non si possono contattare fra loro.
Poi la cosa essenziale è che essendo un dispositivo con un mac andress, al nuovo router puoi assegnare tutti i gruppi del pihole che vuoi, in questo modo anche i clienti che sono collegati al quel router subiscono le stesse regole.
Buongiorno Giovanni,
PiHole non ha gestione delle porte che deve essere fatta sul modem-router. Esatto?
Vi è qualche possibilità che vi sia qualche software, magari per raspberry che permetta tale gestione in vece del router.
Vorrei arrivare che sul router non vi sia alcuna personalizzazione poiché ogni volta che il provider fa degli aggiornamenti o dei reset devo ricaricare tutto, PiHole con la gestione DHCP mi ha permesso di superare il prolema degl indirizzi riservati.
Spererei di trovare qualcosa di simile per la gestione porte.
Grazie in anticipo.
Ciao Carlo, mi spiace ma il raspberry e/o pihole non possono essere utilizzati per aprire e gestire le porte verso l’esterno, in quanto non sono un modem/router.
Quello che cerco di farti capire è che se useresti un ulteriore router (ad esempio un fritzbox o asus o etc) attaccato al modem/router dell’operatore (fastweb se non erro nel tuo caso), le porte verso l’esterno (internet) le devi per forza aprire sul modem/router principale quello dell’operatore oltre che sul modem secondario fritzbox o asus o etc (ad esempio per poter collegarti quando sei fuori a una telecamera).
Anche io uso un modem di un operatore (sono stato costretto altrimenti, l’offerta non era valida) e dopo aver trovato la mia configurazione (ideale) ho effettuato il backup (viene creato un file).
In questo modo è possibile ripristinare la situazione nel caso venga resettato (leggi in manuale o naviga in tutti i menu vedrai che troverai tale opzione).
Il discorso è diverso se vuoi usare un firewall nella tua rete casalinga, ma non è questo il caso visto la domanda posta.
Grazie per la pronta risposta.
Peccato che Nexxt di Fastweb non ha la possibilità di salvare la configurazione; questo è proprio un limite grave. Ho verificato sia la app sullo smartphone che la pagina web anche in modalità “esperto” ma non si trovano i classici backup/restore della configurazione. E’ evidente che il modem originala ha tutte queste possibilità mentre la versione firmare che fornisce Fastweb rende il modem castrato.
Sul discorso firewall mi hai fatto venire curiosità; se mi potessi dare qualche spunto da studiare.
Grazie, saluti
Per quanto riguarda il tema firewall potresti leggere qualche libro oppure più facilmente leggere qualche guida in rete cercando come:
Realizzare un firewall con pfSense
che è un ottimo inizio.
Grazie mille,
provero questa stagione il consiglio che mi hai dato.
Buona serata.
Buongiorno Giovanni,
ho fatto la ricerca in rete come suggerivi ma credo che il prodotto, anche per il SO che richiede sia un po’ oltre le mie capacità.
Ho peraltro notato che come alternativi a PfSense e possibili su piattaforma raspberry indicano OpenWrt e IpFive.
Leggendo quello che mi pareva più interessante al mio caso è IpFive.
Che ne pensi?
Grazie e buon fine settimana
Ciao Carlo, è buon prodotto, facendo pratica con il software di Ipfire potrebbe darsi che passerai Pfsense che è sicuramente superiore.
Ciao Giovanni,a me “https://orca.pet/notonmyshift/abp.txt” non riesce ad aggiornarsi su pihole,su firefox la pagina viene visualizzata
Ciao Antonio, ti informo che stanno lavorando sul sito web, attendiamo che finiscano.
Aggiornamento: il file abp.txt (per lo scaricamento) risulta cambiato e il sito web ha qualche problema, a questo punto lo segnalo come da eliminare.
Grazie Giovanni di questa giuda cosi dettagliatamente descritta.
Complimenti..
Volevo chiederti una sola curiosità riguardante l’abilitazione del DNSSEC,
partendo da una configurazione ( su una VM) ancora pulita e senza ulteriori personalizzazioni,
configuro il dns dei client a interrogare la macchina Pi.hole, e tutto viaggia come deve,
arrivano le query nei log, e vengono risolti i domini nei client, e filtrati quelli nelle liste.
Quello che non riesco a capire perche abilitando DNSSEC, impostanto precendetemente come Upstream DNS Servers ad esempio Quad9 (filtered, DNSSEC)
il client non naviga piu, non risolve piu i domini.
Controllando i log, le query da parte dei client verso pihole arrivanno ma come se non venissero inoltrate al client che le ha chieste.
una interrogazione tramite nslookup su win, client riporta:
> google.it
Server: pi.hole
Address: 192.168.0.12
*** pi.hole non è in grado di trovare google.it: Server failed
Puoi dirmi dove sto sbagliando o se l’uso dell’opzione “Use DNSSEC” richieda qualche particolare parametro che non ho abilitato?
Ovviamente distattivato l’opzione “Use DNSSEC” , tutto riprende a funzionare correttamente.
in attesa di un tuo graditissimo riscontro continuo a pefezionare la mia installazione
grazie alle tua guida.
Ciao Giulio credo sia un problema della tua macchina virtuale e della sua configurazione.
Io ho da tempo un pi-hole (usato per effettuare test) fatto su una macchina virtuale con il programma Vmware e configurazione del network in bridged in modo che l’ip sia nella stessa classe 192.168.1.X e per non avere nessun tipo di problema e/o blocchi, (per praticità è installato raspbian e pi-hole) e non riscontro nessun problema.
Ho provato a crearne un altra nuova di zecca sempre con la parte network in modalità bridged con filtri di default e nessuna modifica effettuata oltre a toglire ipv6 e scegliere quad9 (filtered,dnssec) e abilitare il dnsssec quindi e i tuoi stessi parametri e non riscontro problemi la navigazione funziona alla perfezione.
Nota: ricorda che sul pc non devi installare software che abilitano il dnssec come simplednscrypt.
Grazie Giovanni, molto gentile..
Ho la stessa configurazione, ma utilizzo virtualbox per virtualizzare una raspianOS con PiHole
giusto per seguire la tua impeccabile e dettagliata guida. 🙂
Ovviamente la VM raspianOS ha la rete in bridge, ed è raggiungibile dalla lan locale senza dover ricorrere a nessuno nat o inoltro… RaspianOS ha la sua virtual iface nella lan…
Ho provato anche ad utilizzare un Pihole in Docker, ma anche qui, tutto va tranne le richieste in dnsssec.. ( ma questo è una altro tipo di utilizzo, altra configurazione.)
Quello che mi incuriosisce è nel log pihole (Tail PiHole.log nella GUI)..
La mia configurazione
IP PiHole = 192.168.0.12
Upstream DNS Servers = 9.9.9.9 149.112.112.112
Host (Virtualbox) = 192.168.0.12
altro host = 192.168.0.251 con unico dns su IP di PiHole
Abilitando dnsssec e facendo un
dig @192.168.0.12 +dnssec -t ANY wikipedia.com
da un host sulla stessa lan,
I log riportano un “ABANDONED”
Jul 24 22:25:39: query[ANY] wikipedia.com from 192.168.0.251
Jul 24 22:25:39: forwarded wikipedia.com to 9.9.9.9
Jul 24 22:25:39: forwarded wikipedia.com to 149.112.112.112
Jul 24 22:25:40: dnssec-query[DS] com to 9.9.9.9
Jul 24 22:25:40: dnssec-retry[DS] com to 9.9.9.9
Jul 24 22:25:40: dnssec-retry[DS] com to 149.112.112.112
Jul 24 22:25:40: validation wikipedia.com is ABANDONED
Jul 24 22:25:40: reply wikipedia.com is (null)
Jul 24 22:25:40: reply wikipedia.com is (null)
Jul 24 22:25:40: reply wikipedia.com is (null)
Jul 24 22:25:40: reply wikipedia.com is (null)
Jul 24 22:25:40: reply wikipedia.com is (null)
mentre un dig dalla stessa raspianOS (lo stesso PIHole) riporta un “BOGUS”
Jul 24 22:28:49: query[ANY] wikipedia.com from 192.168.0.12
Jul 24 22:28:49: forwarded wikipedia.com to 9.9.9.9
Jul 24 22:28:49: dnssec-query[DS] com to 9.9.9.9
Jul 24 22:28:49: Insecure DS reply received for com, check domain configuration and upstream DNS server DNSSEC support
Jul 24 22:28:49: reply com is BOGUS DS – not secure
Jul 24 22:28:49: validation wikipedia.com is BOGUS
Jul 24 22:28:49: reply wikipedia.com is (null)
Jul 24 22:28:49: reply wikipedia.com is (null)
Jul 24 22:28:49: reply wikipedia.com is (null)
Jul 24 22:28:49: reply wikipedia.com is (null)
Jul 24 22:28:49: reply wikipedia.com is (null)
in entrabi i casi, la risposta del comando dig non va a buon fine..
mentre facendo una query direttamente al DNS 9.9.9.9, va ok (ovviamente)
dig @9.9.9.9 +dnssec -t ANY wikipedia.com
Leggendo nelle wiki di Pihole, credo ci siano problemi se si utilizza la “Conditional forwarding”,
ma non ho trovato ulteriori informazioni in rete..e non credo il problema sia qui.
ho provato con differenti “Upstream DNS server”, abilitando anche “Permit all origins”
ed assegnare se stesso come DNS server in
/etc/dhcpcd.conf
static domain_name_servers=127.0.0.1
Avendo a monte un firewall con il quale fare alcune analisi sulla rete,
riesco a tracciare le richieste e risposte verso e da gli “Upstream DNS Servers” e la PiHoleVM
Sto proprio cercando di capire..
magari provero con un Player VmWare e vedere se ho qualche cambiamento..
hai qualche altro suggerimento dove poter indagare?
Grazie e .. ancora complimenti per la guida..
Ciao Carlo, una curiosità, ma se esegui lo stesso comando
dig @192.168.0.12 +dnssec -t ANY wikipedia.com
direttamente su raspbian in vm funziona?
Ciao Giovanni,
come dicevo nel messaggio precedente, lo stesso comendo eseguito localmente nella VM RaspiamOS,
non va a buon fine, e risposta nei log allla query è che il dominio ( wikipedia.com) risulta un BOGUS Domain..
—————
# risposta dig senza DNSSEC (disabled)
; <> DiG 9.16.42-Debian <> @192.168.0.12 +dnssec -t ANY wikipedia.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28399
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
; COOKIE: 6f09c2b4a4cdbeadff783e3b64c0426641e39514aaebe2ba (good)
;; QUESTION SECTION:
;wikipedia.com. IN ANY
;; ANSWER SECTION:
wikipedia.com. 3600 IN HINFO "RFC8482" ""
wikipedia.com. 290 IN A 185.15.58.226
wikipedia.com. 141133 IN NS ns2.wikimedia.org.
wikipedia.com. 141133 IN NS ns1.wikimedia.org.
wikipedia.com. 141133 IN NS ns0.wikimedia.org.
;; Query time: 172 msec
;; SERVER: 192.168.0.12#53(192.168.0.12)
;; WHEN: Tue Jul 25 23:45:11 CEST 2023
;; MSG SIZE rcvd: 174
————–
# risposta dig con DNSSEC (enabled)
; <> DiG 9.16.42-Debian <> @192.168.0.12 +dnssec -t ANY wikipedia.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 43148
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1220
; COOKIE: ea8d86927868126ab5e84b1764c043128f4741c47c96568e (good)
; EDE: 5 (DNSSEC Indeterminate)
;; QUESTION SECTION:
;wikipedia.com. IN ANY
;; Query time: 92 msec
;; SERVER: 192.168.0.12#53(192.168.0.12)
;; WHEN: Tue Jul 25 23:48:03 CEST 2023
;; MSG SIZE rcvd: 76
————
Oggi non ho potuto fare prove ulteriori, ho aiutato un amico a riparare il tetto per una grandinata ..
mi ci metto adesso.. se non mi addormato sul PC 🙂
Grazie del tuo aiuto a capire dove si trova l'inghippo..
Scusa non avevo capito, il problema è da ricercare nel programma virutalbox, ho effettuato delle ricerche e ho trovato varie procedure per la risoluzione del problema, purtroppo non avendo installato tale programma al momento non posso aiutarti, se riesci usa VMware (in tal senso e se leggi fra le righe, youtube può darti una mano).
Ciao Giovanni,
ho effettuato un po prove… anche utilizzando Vmware player e su Debian 12 64..
anche su reti e fornitori differenti.. a valle e a monte dei Firewall…
sempre partendo da una nuova installazione e ultima release.
Il problema si riscontra in tutti i casi, ed è da cercare altrove..
Come primo approcio, devo studiare meglio le procedure DNSSEC, come vengono effettuate le query che tipo di reply viene inoltrato, e quali Upstream utilizzare..
Questa tua guida è ottima, ti aggiornerò quando avro dedicato sufficente tempo da aver risolto il problema 🙂
Invito tutti gli iscritti a mantenerla aggiornata..
Grazie a tutti
Ciao Giulio, mi spiace che hai questi problemi, mi sorge un dubbio, potrebbe essere il pc/server dove stai provando visto che hai provato a monte e a valle del firewall e diversi operatori?
Sarebbe da controllare anche il sistema operativo di base che potrebbe avere al suo interno un firewall software.
Io i miei test li eseguo su un pc portatile con win10 e vmware workstation pro (v16), installando nella macchina virtuale raspbian e quindi pihole (in modo da essere quanto più vicino al mio raspberry), solo dopo aver provato vari operatori telefonici e firewall, giro la configurazione sul mio pihole/raspberry di casa e poi se tutto va bene, qui sul sito web.
Ti ringrazio sempre per i complimenti e qualsiasi commento che possa in qualsiasi modo migliorare questa guida è sempre ben accetto, quindi se trovi una soluzione pubblica un commento così da aggiungere la soluzione alla guida stessa.
PS: tengo a indicare (anche ai visitatori del sito web) che la configurazione presente su questa guida è identica a quella presente sul mio raspberry e quindi sul pihole che sto usando a casa e non ho problemi con il protocollo dnssec (sia usando unbound, sia senza unbound).
Segnalo liste https://malware-filter.gitlab.io/malware-filter/* OFFLINE
Ciao, Ti ringrazio per la segnalazione, effettuato aggiornamento con la sostituzione dei link (mirror) per risolvere il problema.
Segnalo ulteriore lista non funzionante : https://github.com/Perflyst/PiHoleBlocklist/blob/master/SmartTV.txt
Effettuato Fix inserendo il link corretto, chiedo scusa per l’errore
sentiti ringraziamenti per la guida, ho riscontrato problemi con le liste qui sotto per connettermi a prime video con un vecchio tvSmart Samsung:
https://gist.githubusercontent.com/eterps/9ddb13a118a21a7d9c12c6165e0bbff5/raw/0ba4b04802a4b478d7777fb7abe76c8eac0c5bfc/Samsung%2520Smart-TV%2520Blocklist%2520Adlist%2520(for%2520PiHole)
https://raw.githubusercontent.com/jerryn70/GoodbyeAds/master/Hosts/GoodbyeAds.txt
PiHole gira su un raspberry 3 con server ubuntu 22.04, sapresti suggerirmi la corretta configurazione dei server DNS e domain nel file config.yalm
Che tu sappia piHole ha incompatibilità con chrony? da quando l’ho installato ad ogni riavvio devo far ripartire il serverDNS di piHole manualmente
grazie
Ciao Max, prima di risponderti hai letto e sufruito della “Guida installazione whitelist tramite il mio script…” ed effettuare il comando
sudo ./whitelist_singole_abilitazioni.sh All
in modo da abilitare la maggior parte dei server che possono bloccare molti servizi.Anche io ho una tv smart ma di altra marca e non riscontro problemi con prime video. Se il problema persiste devi verificare sul pihole la finestra del query log e capire
quale server (credo sia samsung o di amazon) che venga bloccato e abilitarlo.
Con crony io ho riscontrato alcune anomalie sulla mia rete, ti suggerisco di trovare una valida alternativa software.
Ciao Giovanni,stamattina mi sono accorto che nella guida è presente la stessa lista due volte “http://hole.cert.pl/domains/domains.txt” e “https://hole.cert.pl/domains/domains.txt”
Ciao Antonio, effettuato fix
Ciao Giovanni,come posso risolvere questo problema?tutte le volte che riavvio il pc il nameserver si ripristina 127.0.2.1 invece di mantenere 127.0.2.1#5279,conosci una soluzione?
…forse ho risolto,ho installato “resolvconf”puoi darmi conferma?
Ciao Antonio, io non riscontro il problema da te segnalato e stavo leggendo vari tread aperti su reddit, per capire da dove dipende la tua anomalia.
Verificando sul mio pihole resolvconf risulta disabilitato e anche la guida ufficiale (oltre la mia presente sul sito) dice che è obbligatorio di disattivarlo.
Ciao Giovanni,io me ne sono accorto per puro caso,perchè apt update non raggiungeva più i server di aggiornamento e anche 3 liste pihole non erano mai raggiunte,controllando su /etc/resolv.conf mi appariva 127.0.2.1 cosi l’ho modificato in 127.0.2.1#5279 che è l’indirizzo che uso per il dnscrypt che configurammo tempo a dietro con te ricordi? e cosi sudo apt update e le liste pihole sono tornate ad aggiornarsi,riavviando il pc tutto è tornato come prima debian.com e 3 liste pihole non venivano più raggiunte,controlla nuovamente /etc/resolv.conf e mi appariva nuovamente 127.0.2.1 cosi mi sono imbattuto in questa guida “https://it.linux-console.net/?p=1604”.
Già che ci sono volevo chiederti un’altra cosa,quale Dynamic DNS mi consiglieresti?
TI riporto la guida ufficiale https://docs.pi-hole.net/guides/dns/unbound/ giusto per farti notare che il resolvconf và disabilitato.
Ho provato a riavviare il mio raspberry pi2 dove ho un mio pihole e come dns ho: 127.0.0.1#5335 e non viene cancellato.
Credo sia il caso di rifare la macchina con il pihole perchè non ho trovato articoli “nuovi” dove si presenta la tua problematica (quelli vecchi davano la colpa al componente FTL).
Giovanni,ho formattato il pc reinstallato raspberry os desktop aggiornato e installato pihole che adesso non mi visualizza i clients,”An unknown error occurred while loading the data.”credo che qualche aggiornamento non funziona come dovrebbe,ho provato a reinstallare raspberry os desktop senza aggiornarlo e pihole funziona ma sempre con il problema presentato stamattina,forse le versioni desktop e arm sono diverse,non sò che dirti…
Ciao Giovanni,ti aggiorno un pò sulla situazione,ho riformattato il pc reinstallato raspberry os aggiornato tramite sudo apt dist-upgrade e installato pihole al momento funziona il problema nasce ogni qual volta installo il dnscrypt,pihole non aggiorna 3 liste e se mando apt dist update i server debian non sono raggiungibili
Ciao Antonio, appena riesco ad avere un pò di tempo libero faccia una macchina virtuale sul pc con vmware e installa raspian desktop e pihole e verifico se ho i tuoi problemi.
Se ti và, potresti provare ad usare Linux Mint sul tuo pc che secondo me è più performante di Raspian desktop
Giovanni,forse ho risolto,io installavo dnscrypt-proxy nano ed avevo il problema descritto,cosi ho seguito la tua prima guida quella con dnscrypt-proxy-linux e sembra non darmi nessuno problema,continuerò a testare e poi ti aggiorno,per quanto riguarda linux mint,si ho preso in considerazione di provarlo sia la versione ubuntu che la debian
niente…non funziona…provero con linux mint…
Ciao Giovanni,ho provato linux mint la variante ubuntu e non ho riscontrato nessun problema citato sopra quindi c’è qualche problema con raspberry os desktop,poi mi sono ricordato che tu in estate ci avevi proposto Unbound cosi ho reinstallato anche raspberry os desktop ed ho provato Unbound e non ho nessun tipo di problema,però da quello che ho capito Unbound si poggia e filtra/maschera il mio traffico internet dal mio provider telefonico giusto?a me piaceva l’idea di non poggiarmi sul mio provider telefonico…
Su una guida che leggevo stamattina,ho trovato una regola che permetterebbe di tenere i server di Unbound aggiornati,in crontab aggiungere questa regola “05 01 15 */3 * wget -O /var/lib/unbound/root.hints https://www.internic.net/domain/named.root“tu che ne pensi?
Ciao Antonio, contento che tu sia riuscito a risolvere con Linux Mint, io purtroppo non sono riuscito ad avere un pò di tempo libero per effettuare i test.
Confermo che con Unbound non sfrutti i DNS del tuo operatore telefonico o quelli come Clouddns, Opendns, Quad9, etc, ma i dati sono criptati e sfrutti un server dns ricorsivo creato sul tuo pc/raspberry.
Inserisci questa regola
0 5 * * 0 wget https://www.internic.net/domain/named.root -qO- | sudo tee /var/lib/unbound/root.hints
sul crontab per essere sempre aggiornatissimo (si aggiorna ogni domenica alle 5).Ciao Giovanni,grazie per la pazienza,non preoccuparti,sono un tipo curioso a me piace sperimentare
Giovanni una domanda stupida,nei clients ci sono anche gli indirizzi del pihole hostname,localhost…anche a loro bisogna assegnare un groups?
non è necessario
Ciao, ottimo articolo, completo e dettagliato.
Io riscontro un problema quando utilizzo chrome in incognito… è come se pi.hole non filtri assolutamente nulla. Hai qualche idea?
(ovviamente il pc è stato inserito nei clients ed è stato collegato ai suoi gruppi corretti)
Ciao, il browser Chrome puo’ utilizzare dei dns tramite il protocollo https, per verificare se ciò viene abilitato apri la finestra in incognito, vai sui 3 pallini in alto a destra, quindi scegli la voce impostazioni, poi sulla destra clicca su Privacy e sicurezza quindi scegli sicurezza e dove trovi la sezione con la voce “Usa DNS Sicuro” verifica che sia abilitata la voce “Con il tuo attuale fornitore di servizi”.
Se riscontri ancora problemi verifica le estensioni installate.
*è come se non filtrasse… scusa la svista del mio itaglianico! 😀
aggiungo anche, che il pi.hole mi fa da server dhcp ed inoltre, sulla sezione Query Log non appare nulla riguardo alla mia navigazione in incognito
GRAZIE 1000 😀
Prima di risponderti è necessario fare chiarezza, se il tuo pc con un altro browser (firefox, edge, opera o etc) usa i dns del pihole allora è correttamente configurato e a questo punto è un problema del software del pc e nel tuo caso specifico Chrome.
Non potendo verificare e mettere le mani direttamente sul pc, ma cercando di capire la tua problematica, capirai che mi è difficile “purtroppo” aiutarti, comunque se hai effettuato le verifiche che ti ho detto prima :
– non hai riscontrato l’attivazione dei dns con altri servizi (cloudflare, google dns etc)
– non hai estensioni attive che attivino vpn o altri dns (per vedere le estensioni impostazioni -> estensioni)
Fossi in te farei un backup dei dati importanti (come segnalibri, password salavate etc ) e effettuerei una disinstallazione completa di Chrome con qualche programma tipo revo uninstaller o iobit uninstaller per cancellare tutte le impostazioni e le voci di registro se sei su windows ovviamente e poi lo reinstallerei.
Ti ringrazio per la risposta, decisamente logica. Ho dimenticato di aggiungere che TUTTI i browser del pc in “incognito” saltano i filtri del PiHole, inoltre sul rasp ho anche Unbound (installato sempre grazie al tuo articolo), ho WireGuard VPN ma solo per collegarmi alla mia lan domestica sul PiHole e lo uso solo quando sono su linee internet pubbliche…
Hai un suggerimento (comando powershell o altro) per verificare che non ci sia qualcosa (magari anche lo stesso antivirus) che mi gira i DNS a suo piacimento?… La cosa che non mi spiego è proprio la questione “browser incognito”, perchè se navigo in chiaro funziona che è una MERAVIGLIA!
PS. software “particolari” installati: Eset Endpoint Antivirus, Webex, IObit Malware Fighter, IObit Advanced SystemCare, IObit Driver Booster ed il pacchetto Office… praticamente un pc da ufficio 😀
è veramente stranissimo questo comportamento dei browser solo in modalità anonima/incognito…
Un software come un antivirus dovrebbe sempre modificarti i dns e avere questo comportamento qualsiasi cosa ti faccia.
Se non hai qualche estensione/plug-in installata sui browser, a questo punto potrebbe essere anche qualche malware o virus (anche loro dovrebbero modificare i dns sempre qualsiasi cosa tu faccia e quindi non vedere nessun traffico sul pihole per il pc), però io proverei comunque a passare questi software:
– Adwcleaner
– RogueKiller
– Malwarebytes’ Anti-Malware free
– Spybot search and destrory
– HijackThis
Sinceramente farò qualche ricerca su internet e ti faccio sapere se trovo qualcosa, perchè il tuo caso è veramente, ma veramente strano
EUREKA!!!
Grazie per le dritte Giovanni. Le scansioni hanno riconosciuto alcuni files di IObit come “malevoli”, ho quindi preferito disinstallare tutti i softwarer IObit a priori. Successivamente (scrivo tutto per essere utile ad altri) la navigazione sia in incognito che in chiaro appariva non filtrata (e finalmente ho un errore comune!). Ho quindi fatto un check con il comando “ipconfig /all” sul terminare ed ho riscontrato che indirizzo Ip e Subnet erano configurati con indirizzi fuori dai miei protocolli impostati dal DHCP, nonostante gateway e DNS puntassero correttamente a router e pihole. A questo punto, ho controllato nelle impostazioni Win11 -> Rete e Internet -> Wi-Fi -> “LaMiaReteLocale” e l’ho trovata impostata come rete pubblica (quando non lo è mai stata). Selezionando Rete privata, i parametri si sono riallineati (forzato un ipconfig /renew), i filtri hanno ripreso a funzionare e finalmente anche il nome pc appare in Query Log di pihole… Quindi, finalmente (dopo mesi di ricerche), RISOLTO!
Ora ho una domanda che mi “assilla” (assolutamente non urgente, ma che mi serve per imparare dagli errori). Ignorando indirizzo IP e SubNet, se il gateway ed il DNS sono corretti, la navigazione, non dovrebbe essere filtrata ugualmente dal pihole?
Grazie ancora per il supporto!
Ho cantato vittoria troppo presto… situazione identica alla precedente. Dopo le scansioni nessun virus o malware e nessuna applicazione “strana”; la rete è privata e gli indirizzi ip sono corretti… sembra tutto ok, ma su Query Log di PiHole non appare il Client… unica differenza, ora anche la navigazione in chiaro non viene filtrata (che nel male è una buona cosa)… Posso andare sul sicuro dicendo che è solo questo apparato che non viene gestito dal pihole, mentre tutti gli altri funzionano a dovere. Idee?
Al momento l’unica cosa che mi viene in mente, visto la tua risposta precedente, è :
Hai verificato sul pc dove riscontri il problema abbia la subnet mask e il gatway predefinito uguali a quelli usati dal pihole (se il tuo pihole ha come ip 192.168.1.2, il tuo pc deve apre un ip compreso tra 192.168.1.3 a 192.168.253, non può ad esempio avere un ip 192.168.0.2 oppure 192.168.2.2 oppure etc.) ?
Per far funzionare il filtraggio del pihole, il pc deve stare nella stessa rete e quindi non può essere collegato a un altro router o una wi-fi extender che cambia il reange degli ip (se è cosi’ devi configurare il router o wifi-extender come uno switch in modo che rilasci gli stessi ip del modem, lo stesso range).
Se il tuo pihole funziona anche da dhcp, ti consiglio di inserire l’indirizzo fisico (il mac andress) e assegnare un indirizzo ip statico al pc in modo anche da scegliere i gruppi e quindi le regole nella relativa scheda client.
Grazie Giovanni, tutte cose che ho controllato accuratamente come da manuale. L’indirizzo IP viene fornito forzatamente nella sezione “Static DHCP leases configuration” tramite MAC.
Ho deciso di azzerare tutto sia su pihole che su pc facendo un flushdns e liberando tutta la possibile cache da entrambi gli apparati. Sono sotto test per un paio di giorni per capire (vorrei evitare di “formattare” il pc), ma al momento il funzionamento è molto a singhiozzo; significa che ogni tanto il client appare sul query log e ogni tanto no. Unica cosa inalterata è che ora la navigazione in chiaro e in incognito funzionano nello stesso modo (e la considero una sottospecie di vittoria hahahahahha). Ti confermo però che questo problema è circoscritto a questo computer, quindi non ti faccio perdere ulteriore tempo e se trovo una soluzione definitiva o se dovesse stabilizzarsi dopo questa pulizia di cache, lo scriverò anche per essere di aiuto ad altri che riscontrano lo stesso intoppo.
Ciao ragazzi,scusate se m’intrometto nella discussione,Filippo potresti aver installato un firewall che ti blocca l’entrata?
Ciao Antonio, grazie per l’interessamento, intromissione ben accetta. Nessun firewall (ne fisico e nemmeno software) diverso da quello standard di win11.
Ho visto anche un’altra anomalia con “ipconfig /all”: il mio DNS primario è l’IPv6 del router mentre il secondario è il PiHole…
Attualmente ho disabilitato dalla mia scheda di rete l’utilizzo degli IPv6 e sembra funzionare (dico sembra perchè si è comportato così praticamente sempre), ma ho una domanda sperando di non aver tralasciato qualche passaggio: il PiHole ha la possibilità di gestire anche un DHCP a livello IPv6? Perchè il mio router fitzbox lo fa… Grazie 😀
Ciao Filippo, a questo punto ti conviene disabilitare il dhcp su ipv6 dal modem friz, in modo che funzioni solo quello del pihole in ipv4.
La risposta è si il pi-hole può gestire anche ipv6, i problemi sono :
1 – dovresti inserire anche i filtri per ipv6 raddoppiando quasi la numerosiità.
2 – cosa importante non tutti i filtri hanno le due versioni ipv4 e ipv6, rimarresti quindi scoperto se navighi solo con il protocollo ipv6 (ricscontrati anche da prove effettuate da me).
Per Antonio, un aiuto non è mai considerato un intromissione, ma aiuta a trovare una soluzione.
Grazie Giovanni, l’ho pensato pure io. Sto provando a redirezionare il DNS IPv6 del router su PiHole, ma probabilmente dovrò gestire il DHCP direttamente dal FritzBox… Capisco i problemi di numerosità, ma avendo un ISP che mi gestisce anche l’IPv6, mi piacerebbe evitare di gestire un NAT ma rendermi pubblici direttamente quegli apparati che mi tornerebbe comodo raggiungere dall’esterno, evitando VPN o altro…
Credo comunque di aver compreso che la mia anomalia era causata proprio dal DHCP ipv6 del router, perchè non ho più riscontrato alcun bypass di filtraggio nella navigazione.
Ciao Filippo mi permetto di intervenrei dicendoti che immettere su ip pubblico o in dominio pubblico, apparati è molto pericoloso, se non metti almeno e dico almeno un firewall. Ho amici che gli hanno hackerato il nas e poi è stato cryptato perdendo tutti i dati, oppure amici che avevano una semplice telecamera di videosorveglianza che hanno usato come ponte per copiare tutti i dati personali che aveva sul pc e gli hacker hanno fatto un furto d’identità (ancora oggi riceve multe a suo nome ed ha vari problemi.Pensaci bene prima di operare su questa strada, il mio è solo un consiglio ovviamente, non prendertela mi raccomando.
Ciao
complimenti per il tuo ottimi lavoro e per la semplicità e chiarezza dell’esposizione.
Ho pi-hole installato su un raspberry 3 sotto docker, che ho installato autonomante, ho seguito la tua guida per quanto riguarda sopratutto liste, filtri etc. etc. e poi ho preso spunto per varie cose.
funziona tutto bene, ho solo dovuto fare un pò di workaround per installare le whitelist visto che il tuo file considera una installazione standard, però alla fine tutto è a posto e tutto fila liscio (per ora )
Uso docker perchè sulla stessa board c’è anche un minidlna.
ed ora la domanda, ero interessato a cambiare la frequenza degli aggiornamenti delle liste, il discorso crontab ma ovviamente essendo in un docker la strada normale non funzoiona, ho provato a googlare un pò ma non ho trovato una soluzione, hai per caso un’idea? sai come agire in questo caso?
Grazie molte in anticipo
Ciao, grazie per i complimenti, scusa se ti rispondo solo ora ma sono stato impegnato in questi giorni, per la tua richiesta puoi vedere la discussione presente proprio sul sito del forum di pihole e precisamente l’ultima risposta/soluzione fornita: https://discourse.pi-hole.net/t/how-to-run-pihole-g-when-pihole-is-a-container/38968/15 .
grazie 1000
alla fine però ho cambiato strada, ragionando opportunamente ho deciso che del docker potevo farne tranquillamente a meno.
in fin dei conti mi basta Pi-Hole e Samba che quindi pssono fare a meno del docker, anzi, penso sia addirittura meglio.
Un saluto e grazie ancora
ciao, io ho configurato pi-hole tramite installazione su rasp pi2 con l’utilizzo della distro diet-pi
ma dopo aver configurato il tutto , e quindi mi da la password per loggare dal sito mi dice che il login è errato e non mi fa accedere alla dahsbord.
cosa posso fare, in questo modo non riesco a fare partire il filtraggio
Ciao, quando hai effettuato l’installazione del pihole lo stesso ti ha fornito una password temporanea per entrare (come indicato nella guida), se non l’hai appuntata, oppure te la sei dimenticata, puoi effettuare questo comando da terminale del raspberry:
sudo pihole -a -p
Questo comando ti permetterà di cambiare la password e impostarne una nuova.
Ciao e grazie tante per mantenere aggiornata questa pagina
Io vorrei tanto aggiornare PiHole in modo che in giro per tutta la casa non vedo piu la pubblicità specialmente quella del tubo.
Ho notato che Ublock Origin (messo sul mio PC) funziona sempre… se lo tieni aggiornato.
Ho quindi fato un salto sulla lista della pubblicità che usa, su github e ho provato a inserire la lista:
https://github.com/uBlockOrigin/uAssets/blob/master/filters/filters-2023.txt
Non mi ha fatto nessun parsing purtroppo.
Al inizio articolo dicevi che fossero compatibile le liste… e ancora cosi ?
Sai per caso come potre adattare la lista di Ublock Origin al PiHole ?
Grazie ancora
Denis
Ciao, ti ringrazio per i complimenti, cerco di fare il mio meglio.
La lista da te indicata https://raw.githubusercontent.com/uBlockOrigin/uAssets/master/filters/filters-2023.txt non è una lista che contiene solo domini nel formato:
||esempio.com
ma contiene delle regole e dei filtri scritti proprio per ublock origin e quindi non risulta compatibile con il pihole.
Devi capire che le pubblicità presenti su youtube non sono presenti su domini che possono essere bloccati, come solo a titolo d’esempio il dominio: googleads.g.doubleclick.net
ma le pubblicità sono intrinseche nelle pagine del sito web (del dominio) youtube.com o youtube.it e quindi non è possibile usufruire del pihole per bloccare tali pubblicità, è necessario salire di livello ed far effettuare un lavoro sul codice software della pagina del sito web con l’uso di ublock origin appunto, tali filtri in pratica bloccano una parte del linguaggio presente nella pagina web (html, php, javascript, etc.) non permettendone il caricamento.
Se vuoi quindi bloccare le pubblicità sul cellulare android o tablet, su iphone o Ipad, segui le relative guide con l’installazione delle app per questo specifico scopo.
Ovviamente, rimango a tua disposizione per eventuali domande.
Salve.
Io ho problemi con la VodafoneStation e PiHole.
Ho provato tutti gli approcci suggeriti: disabilitare DHCP dalla VS, mettere il range di IP da 192.168.1.21 a 192.168.1.21 (quello di PiHole, settato staticamente) e abilitare il DHCP su PiHole con tutte le impostazioni suggerite.
Nulla. I dispositivi non riescono a farsi dare un IP. Consigli?
Sono riuscito a risolvere. Il problema era semplicemente che il mio PiHole girava all’interno di un container Docker e il network era in Bridge invece che essere in Host, quindi il discovery DHCP non riusciva a raggiungerlo.
Ciao Stefano, da venerdi fino a ieri sera ero fuori, ed essendo solo con il cellulare mi è stato difficile controllare/visionare il sito, chiedo scusa quindi per non aver risposto in precedenza.
Sono contento che tu abbia risolto da solo e abbia condiviso anche la soluzione visto che altre persone leggendo possono essere aiutate.
Se ha bisogno di altro sono a tua disposizione.
Ciao Giovanni,sei diventato pericoloso xD pihole blocca anche te XD XD XD
Ciao Antonio, purtroppo è già capitato altre volte, la colpa è del filtro https://raw.githubusercontent.com/RPiList/specials/master/Blocklisten/spam.mails che contiene il dominio altervista.org. Ho modificato la mia whitelist in modo da inserire tale dominio in modo da non avere futuri problemi di sorta.
Ciao Giovanni ho appena installato Pihole in un container su Mikrotik e funziona bene……ora vorrei capire come fare x farlo aggiornare di notte ……ho visto la tua guida sopra ma non trovo il prompt x scrivere i comandi come faccio? grazie
Ciao Gennaro di base per effettuare l’aggiornamento ogni giorno è necessario seguire questa parte della guida https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#Pihole-aggiornamento-giornaliero ora avendo tu installato il pihole su un container devi adattarla al tuo scopo. Se sei riuscito a usufruire dei container credo tu sia una persona esperta in questo campo.
Ciao Giovanni,
Grazie per la condivisione del tuo sapere.
Solo una info, se nella lista clients, non specifico nessuna macchina, tutti i device che passano per il pihole sono associati a tutti i gruppi, corretto?
poi se voglio vincolare un singolo device ad uno o più gruppi in particolare, allora posso aggiungere il device ed associarlo ai vari gruppi, ma se non lo faccio è corretto quanto scritto sopra?
Ciao Michele,
di base ogni device (pc, smartphone, tablet etc) che “passa” per il pihole viene associato al solo gruppo di default.
Se vuoi vincolare un singolo device ad uno o più gruppi in particolare, allora devi aggiungere il device ed associarlo ai vari gruppi.
Mi spiace dirti che in pratica è l’esatto contrario di quello che immaginavi.
Grazie per la rapida risposta!
Questo vuol dire che seguendo passo passo la guida, dobbiamo poi mappare ogni singolo dispositivo che si connetterà alla rete, chiaramente si può ovviare spostando tutte le liste sotto default.
Altra info, ti risulta che navigando in incognito (provato sia da PC con vari browser che da Iphone), si bypassa il pihole?
Nessuna richiesta viene bloccata e non trovo nulla sul QueryLog, come se venissero utilizzati altri dns.
Corretto
NO! Anche in modalità anonima, incognito o come il browser possa chiamarla non si bypassa il pihole; e ciò lo confermo per via di test effettuati sia su pc che su smartphone android e iphone.
Attenzione però ci sono delle eccezioni:
– il browser Opera ad esempio usa una VPN interna ed è necessario disabilitarla per usufruire del pihole
– il browser Chrome (e suoi derivati come Edge), può essere abilitato per usare dns anche solamente in modalità incognito ci sono delle opzioni e dei plugin.
BENE! A beneficio di chi leggerà in futuro:
in merito ai client, è possibile configurare non solo il singolo IP, ma anche l’intera subnet in formato cidr (es: 192.168.1.0/24) e configurarla per fare in modo che venga associata ai gruppi che vogliamo, così facendo, tutti gli ip della sottorete seguiranno la stessa logica e si potranno accendere e spegnere i singoli gruppi per abilitare e disabilitare ciò che vogliamo.
Per il problema dell’incognito, ho risolto disabilitando la navigazione sicura nei vari browser.
Questa “navigazione sicura” in condizioni standard dove si utilizzano automaticamente i DNS dell’ISP, abilita il protocollo DoH (che non è l’esclamazione di Homer), ovvero la risoluzione del DNS tramite protocollo HTTPS, questo per rendere più sicura la navigazione (DoH garantisce che le query e le risposte DNS siano crittografate).
Nel nostro caso, visto che il Server DNS è di proprietà, direi che questa opzione può essere disabilitata, in questo modo tutte le richieste passeranno dal nostro PIHOLE.
Spero questo possa essere utile a qualcuno!
Non capisco, ho aggiunto tutte le liste per il blocco delle pubblicità, dalla dashboard vedo che c’è del traffico in entrata nel mio pi-hole proveniente dal mio pc ma se vado su https://www.speedtest.net/ e dissattivo uBlock vedo comunque un sacco di pubblicità. Devo abilitare qualcosa? Grazie.
Io la pagina la vedo cosi’ (senza attivare ublock origin e/o i filtri di firefox).
Per risolvere il problema devi associare i gruppi al dispositivo pc.
Ti conviene leggere queste due parti:
1 – https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#associare-una-lista-a-un-gruppo
2 – https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#associare-un-gruppo-a-un-dispositivo
Buongiorno Giovanni,
ho spento tutti i miei dispositivi per mettere un po’ di ordine sulla cavetteria. Fra questi vi è anche il raspberry in cui ho PiHole.
Alla riaccensione i dispositivi che usano il DNS di PiHole non accedono ad internet.
Come da tuo suggeriemnto ho implementto il DHCP di PiHole e nelle impostazioni IP ho indicato l’indirizzo ip del dispositivo dove è installato PiHole
Fino a prima di spegnare funzionava tutto bene…
Cosa potrebbe essere successo?
Ho notato che fra “Advanced DNS settings” sono flaggate entrambe le opzioni (Never forward non-FQDN A and AAAA queries; Never forward reverse lookups for private IP ranges) potrebbe essere un problema?
Grazie per l’attenzione, saluti
Ho disattivato il DHCP di PiHole e riattivato quello sul modem-router e pare sia tornato a fuzionare tutto.
Spero tu possa aiutarmi a capire questo mistero e dove posso aver sbagliato.
A questo punto non so se recuperare o rifare ex novo PiHole?
Ciao Carlo, credo sia un problema di ip che è stato assegnato al tuo raspberry quando è stato spento e riattaccato alla rete. Ti consiglio sul modem di impostare l’indirizzo ip statico al tuo raspberry o dispositivo dove hai installato il pihole in modo che se lo spegni e lo riaccendi esso possa prendere sempre lo stesso IP.
Ti segnalo inoltre quando fai i test ricorda sempre di spegnere e accedere i dispositivi (questo per far cancellare la cache dns che viene conservata) o se si tratta di un pc di cancellare la cache dns tramite comando da dos/terminale e verificare realmente quali dns sono assegnati.
Se può esserti d’aiuto ti segnalo che la mia configurazione è la seguente: ho un modem di un operatore telefonico e ho impostato su di esso un range dhcp di ip compreso tra 192.168.1.1 a 192.168.1.5 e ho assegnato ad alcuni dispositivi tra cui il raspberry l’ip statico (192.168.1.4 in questo caso) poi sul raspberry ho impostato il dhcp sugli indirizzi rimanenti (192.168.1.6 a 192.168.1.253) sullo stesso raspberry uso Unbound; allo stesso tempo a ogni dispositivo ho preferito assegnare tramite raspberry gli indirizzi ip statici in modo poi da assegnare in modo univoco i gruppi per poter assegnare i filtri in modo personalizzato a ogni dispositivo per le esigenze più svariate che possono esserci in base all’uso o alla persona di famiglia che ne fà uso.
Grazie per la risposta.
Ai raspberry ho sempre assegnato un ip statico (nel mio caso quello dove risiede PiHole è 192.168.1.97) e non lo ho modificato.
Nel router avevo fermato il DHCP in quanto lo facevo fare a PiHole.
Ieri ho solo spento i raspberry per fare ordine fra i fili.
Tutti gli altri raspberry che ho riacceso non hanno dato problemi e neppure quello in cui è installato PiHole solo che i computer non riuscivano ad accedere a internet.
Forse è rindondante mettere nei computer come DNS l’ip di PiHole se si fa fare a PiHole da DHCP.
Quando si sostituisce il DHCP del router con quello di PiHole bisogna fare delle attività particolari come
– riavviare il router e poi riavviare il raspberry su cui gira PiHole
– riavviare i singoli dispositivi
Grazie in anticipo e buona giornata
Se sul router hai assegnato un ip statico al raspberry tramite mac-andress, e alla sua ripresa (riaccensione) i dispositivi non navigavano è veramente strano questo problema e credo sia comunque un problema di raggiungibilità dell’indirizzo ip del raspberry da parte dei dispositivi e relativa configurazione sul router (io nella mia esperienza, ho riavviato e spento molteplici volte il raspberry e non ho riscontrato nessuna anomalia di navigazione dopo che si è ripreso). Ti propongo di effettuare delle verifiche spegnedo e riaccendendolo e/o staccando e ri-attacando il cavo lan del raspberry dove hail il pihole e verificare che alla sua riaccensione prenda realmente l’indirizzo ip, che hai assegnato sul router. Ti confermo che:
1 – Se sul pihole hai attivato il dhcp, è inutile impostare il dns anche sui dispositivi visto che assumono comunque indirizzo dns del raspberry in autonomia.
2 – è consigliato effettuare un restart di tutti i dispositivi compresi router e pihole quando si sostituisce il DHCP del router con quello di PiHole, per il cellulare/smartphone/tablet/smart tv basta spegnere e riaccendere il wifi; ovviamente se possibile (sui pc o dispositivo dove è installato il pihole, per non effettuare un restart basta effettuare tramite dos o terminale:
– la pulizia della cache dns
– riforzare la riconnessione e rinnovo ip)
Nella configurazione di rete del raspberry dove risiede PiHole che DNS dovrei indicare?
Quello stesso di PiHole e quelli che mi ha comunicato il provider? Oppure anche genericamente il classico 8.8.8.8.
Perchè avevo trovato uno strano DNS che iniziava con 37. ho provveduto a levarlo e indicare come principale lo stesso 192.168.197 e come secondario il classico 8.8.8.8.
Grazie
P.S. si possono postare screen shot?
Sul raspberry se non hai installato unbound, ti consiglio di eliminare immediatamente i dns di google 8.8.8.8 e 8.8.4.4 che inseriscono i dati della tua attività di internet nelle loro bigquery e usare invece uno fra questi:
– Quad9 9.9.9.9 e 149.112.112.112
– Cloudflare 1.1.1.1 e 1.0.0.1
– OpenDNS: 208.67.222.222 e 208.67.220.220
Si certamente puoi postare screenshoot, ma non è possibile allegarli direttamente, devi usare servizi di upload immagini tipo: imageshack , Imgbur etc.
Grazie ancora.
Per cui su raspberry mi sconsigli di usare anche i DNS indicati dal provider che nel mio caso è fastweb. E fra quelli indicati quali consideri migliore?
Per UnBound va bene questa guida: https://www.uiblog.it/2021/04/unbound-una-delle-implementazioni-di-server-dns-piu-sicure/
Una volta installato UnBound nella pagina DNS oltre ad inserire “DNS ricorsivo specificando 127.0.0.1#5335” come indicato si può lasciare quanto da te proposto nella tua guida cioè come Upstream DNS Servers flaggato “Cloudflare (DNSSEC)” e in fondo flaggato “Use DNSSEC”
Grazie fin d’ora
Su raspberry come indicato nella risposta precedente consiglio di utilizzare uno fra questi:
– Quad9 9.9.9.9 e 149.112.112.112
– Cloudflare 1.1.1.1 e 1.0.0.1
– OpenDNS: 208.67.222.222 e 208.67.220.220
Assolutamente no quelli dell’operatore qualsiasi esso sia.
Dimenticavo nella guida segnalata su Unbound c’è una soluzione relativamente all’aggiornmento trami contab che non capisco se va in sostituzione o in integrazione da quella da te indicata.
di seguito le due righe che suggeriscono di inserire in crontab:
30 2 * * SUN pihole -up
05 01 15 */3 * wget -O /var/lib/unbound/root.hints https://www.internic.net/domain/named.root
In più c’è questa nota:
Nota: il team di PiHole sconsiglia di aggiornare PiHole tramite cron jobs ( pihole -up ). Tieni presente che il tuo server aggiornerà PiHole ogni domenica tramite cron e rimarrà aggiornato sulle note sulla patch. Se c’è un cambiamento importante e non vuoi aggiornare, basterà dare il comando sudo crontab -e e commentare la riga per aggiornare Pi-hole (inserisci un # prima della riga).
grazie e buon pranzo
La guida per unbound la trovi su questo stesso sito web:
https://www.navigaresenzapubblicita.org/unbound-e-pi-hole-una-soluzione-dns-completa/
Lascia stare la modifica del crontab per effettuare l’aggiornamento automatico del software del pihole (per i filtri invece si è necessario). L’aggiornamento del software meglio farlo manualmente, specialmente per evitare errori d’installazione/download.
Grazie, ho seguito la tua guida per unbound ed è ok.
Ho solo un dubbio relativo a PiHole “Advanced DNS settings” le prime tre caselle (Never forward non-FQDN A and AAAA queries; Never forward reverse lookups for private IP ranges; Use DNSSEC) devo no rimanere fleggate?
Infine per riattivare il DHCP di PiHole come devo procedere?
Attivo il DHCP su PiHole poi blocco quello sul router. Riavvio il router e poi il rasperry su cui gira PiHole.
Può andare come ordine di esecuzione?
Grazie e buon pomeriggio.
Si devono rimanere abilitate
Attivi il dhcp del pihole e disattivi quello del router.
Riavvi il modem e poi il dispositivo dove è installato il pihole; quello che devi fare è spegnere e riaccendere il wifi sui dispositivi come cellulari / smart tv / console in modo che possano acquisire il nuovo ip e dns, mentre sul pc basta effettuare comandi tramite dos o terminale:
– la pulizia della cache dns (comando per windows sotto cmd: ipconfig /flushdns)
– forzare la ri-conessione e rinnovo ip (comando per windows sotto cmd: ipconfig /renew)
Grazie per la puntuale spiegazione. Ho proceduto per router e raspnerry su cui vi è PiHole.
Molti computer hanno l’ip statico impostato per altri dispositivi (cam, ecc.) dovrei spegnerli e riaccenderli. Pian Piano provvederò.
Un ultimo dubbio ho parecchie liste in PiHole che quando viene fatto l’update viene riportato in “Pi-hole diagnosis” che la lista non si trova.
Prendo nota e le cancello?
Buon pomeriggio
Si corretto.
Buon pomeriggio anche a te.
Buongiorno Giovanni,
grazie di tutte le informazioni e i consigli.
Tutto funzina bene.
Buon fine settimana.
Ottimo, sono contento che tutto funziona, anche grazie ai miei consigli e alle guide pubblicate su questo sito web.
Buon fine settimana anche a te.
Buongiorno Giovanni,
nella sezione “Pi-hole diagnosis” trovo quasi ogni giorno questa segnalazione: “Long-term load (15min avg) larger than number of processors: 4.3 > 4 This may slow down DNS resolution and can cause bottlenecks.”.
Come posso rimediare?
Grazie, saluti
La domanda principale è hai installato il pihole sotto docker?
Credo di no, qual’è il sistema che stai usando (puoi fornirmi le caratteristiche?)
L’allarme che mi hai indicato riguarda un carico superiore rispetto al numero di core del processore dove è presente il pihole, ciò non indica necessariamente un problema immediato.
Al momento ti posso consigliare di aggiornare il sistema operativo (raspbian?) e il pihole se non lo sia.
Fammi sapere
Buongiorno Giovanni,
ho installato pihole su un raspberry 4 con sistema operativo raspian.
Faccio aggiornamenti settimanali sia del sistema operativo che di pihole.
Vedo ora che l’ultima segnalazione è di oggi alle ore 4:42:33.
Grazie, e buon fine settimana.
Posto di seguito alcune informazione dell’hw e del sw.
Operating System: Raspbian GNU/Linux 10 (buster)
Kernel: Linux 6.6.18-v8+
Architecture: arm64
PRETTY_NAME=”Raspbian GNU/Linux 10 (buster)”
NAME=”Raspbian GNU/Linux”
VERSION_ID=”10″
VERSION=”10 (buster)”
VERSION_CODENAME=buster
ID=raspbian
ID_LIKE=debian
HOME_URL=”http://www.raspbian.org/”
SUPPORT_URL=”http://www.raspbian.org/RaspbianForums”
BUG_REPORT_URL=”http://www.raspbian.org/RaspbianBugs”
No LSB modules are available.
Distributor ID: Raspbian
Description: Raspbian GNU/Linux 10 (buster)
Release: 10
Codename: buster
cat /proc/cpuinfo
processor : 0
BogoMIPS : 108.00
Features : fp asimd evtstrm crc32 cpuid
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd08
CPU revision : 3
processor : 1
BogoMIPS : 108.00
Features : fp asimd evtstrm crc32 cpuid
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd08
CPU revision : 3
processor : 2
BogoMIPS : 108.00
Features : fp asimd evtstrm crc32 cpuid
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd08
CPU revision : 3
processor : 3
BogoMIPS : 108.00
Features : fp asimd evtstrm crc32 cpuid
CPU implementer : 0x41
CPU architecture: 8
CPU variant : 0x0
CPU part : 0xd08
CPU revision : 3
Revision : c03111
Serial : 1000000097eea6e8
Model : Raspberry Pi 4 Model B Rev 1.1
Grazie ancora
E anche di pihole
pihole -v
Pi-hole version is v5.17.2 (Latest: v5.17.3)
web version is v5.21 (Latest: v5.21)
FTL version is v5.23 (Latest: v5.25.1)
Possiedi un Raspberry di nuova generazione quindi non credo sia un problema del raspberry. Fai questi comandi per effettuare un pò di aggiornamenti:
sudo apt update
sudo apt full-upgrade -y
riavvia il raspberry e poi
effettua questo comando verificare che il pihole sia aggiornato
pihole -up
Quando finito, prova anche a verificare che non sia siano malware sul tuo pc windows scaricando questi programmi gratuiti:
– https://it.malwarebytes.com/adwcleaner/
– https://www.adlice.com/roguekiller/
Buon pomeriggio Giovanni,
ho seguito quanto da te indicato e adesso sto a verificare.
I software anti malaware non hanno rilevato nulla di particolare.
Se PiHole può gestire il DHCP mi sai indicare se esiste un sw da far risiedere sempre su raspberry che gestisce il port forwarding?
Grazie, saluti
Il port forward deve essere gestito dal/sul tuo router principale (e secondari se li hai nella tua rete) e non dal pihole che è stato delegato del solo servizio dhcp. L’apertura delle porte non và presa alla leggera, è necessario inserire delle regole sul firewall e inoltre si consiglia di aprirle solo a ip esterni con ip statico, se la apri senza impostare queste regole sarai sicuramente attaccato dall’esterno (vista la situazione attuale). Ti consiglio di fare esperienza e di studiare bene l’argomento prima di aprire le porte a qualsiasi dispositivo.
Grazie Giovanni,
hai qualche link o anche testo da consigliarmi per un approfondiemnto sulla materia?
Grazie
Ciao ti consiglio di leggere dei libri sull’argomento, se sei proprio a 0 potresti prendere la serie networkig for dummies della hoepli e anche che secondo me sono fatti bene per un neofita su tale argomento; inoltre dovresti leggere qualcosa pure sui firewall.
Buongiorno Giovanni, grazie per la risposta.
Provvederò ad acquistare i libri da te consigliati.
Posso chiederti come procedi per la copia di sicurezza della scheda SD del raspberry?
Grazie e buona domenica
Ciao, un paio di anni fà su windows ho usato win32diskimager che puoi scaricare qui http://sourceforge.net/projects/win32diskimager/files/latest/download, altrimenti dovresti usare balenaEtcher che puoi scaricare qui https://www.balena.io/etcher/. Poi devi dare un occhio a programmi più blasonati come: AOMEI Backupper o Easeus disk-copy.
Buonasera Giovanni, avrei bisogno di un tuo consiglio.
A guardia della mia rete da un po’ di anni avevo acquistato un dispositivo dal nome Fingbox che immagino tu conosca.
Ora questo dispositivo sta dando dei problemi e la soluzione data dall’assistenza pare non funzioni.
Ti chiedo se nella tua esperienza hai qualche soluzione similare che si possa realizzare con un raspberry o eventualmente altra opzione.
Grazie fin d’ora e buona serata.
Ciao Carlo, tutto quello che fà il fingbox (che è diventato anche a pagamento per molte funzionalità), può essere riplicato usando uno o più software da installare sul raspberry, poi dipende da cosa una persona cerca come funzionalità.
Di primo impatto posso consigliarti il software ntopng che tramite una apposita configurazione è possibile impostare per ricevere eventuali allarmi (via email, se non erro) sia per nuovi dispositivi che si sono connessi, che per disconnessione di dispositivi che sappiamo che devono rimanere on-line come una videocamera di videosorveglianza, sia per l’utilizzo di server DNS, o SMTP (della posta) o anche DHCP diversi da quelli che ci aspettiamo.
Buongiorno Giovanni, ti iringrazio per il consiglio.
Hai un link dove trovare un tutorial per una configurazione come quella da te descritta?
Grazie e auguri di Serena Pasqua.
Buonasera Giovanni, ho verificato l’applicazione da te indicata e ne ho fatto l’installazione su un raspberry.
Ho visto che si possono attivare degli alert ma c’è talmente tanto che è veramente complesso e difficile orientarsi.
Non mi pare aver trovato la possibilità di inviare degli alert a mezzo posta elettronica, potrebbe essere una funzione rilasciata solo per le versioni a pagamento?
Tuttavia per orientarsi serve proprio un tutorial che conduca per mano.
Grazie ancora per l’attenzione, un saluto.
Ciao, ho fatto una ricerca e purtroppo non sono riuscito a trovare una documentazione in italiano, esistono molti siti web con guidi in inglese. Per alcuni problemi che ho riscontrato ho usato reddit lì riescono quasi sempre a dare una risposta.
Buonasera Giovanni,
è pur vero chein questi giorni sono stato influenzato e che ho usato poco il mio computer ma gli altri dispositivi sono stati attivi e stasera trovo la situazione che puoi vedere nello screen shot.
https://imagizer.imageshack.com/img922/3589/6v7TEj.png
La percentuale di blocchi mi parrebbe un po’ bassa potresti indicarmi cosa dovrei verificare se qualcosa non funziona a dovere?
Grazie
Ciao, dalla foto che hai mandato non si riesce a fare un’analisi ovviamente rispetto la tua privacy quindi è sicuramente è necessario controllare un pò tutto partendo dalle cose più semplici, quindi: controllare che sia aggiornato il raspbian os o del sistema operativo del tuo sistema, che la versione del pihole sia aggiornata (in questo preciso momento dovresti avere: Pi-hole v5.18.2 FTL v5.25.1 Web Interface v5.21 ), verificare nell’area Domain del pihole, che le regole “whitelist” e “Regex whitelist” siano come te le aspetti e non sia stata inserita qualche regola per errore (ad esempio qualcosa che abiliti domini come solo ad esempio: statistic.doubleclick, googlesyndication, data.microsoft, event.microsoft, e altri domini di aziende pubblicitarie che effettuano tracking).
Cosa importante vedo che la temperatura del tuo sistema è elevata, 53,6 C. Se hai un raspberry spero tu abbia installato correttamente sia il dissipatore per la cpu che per le ram e che ci sia la o le ventoline.
Una temperature elevata può causare thermal throttling e quindi far lavorare male il pihole..
Ciao Giovanni,la lista “https://cert-agid.gov.it/download/log4shell-iocs-raw-domain.txt” non esiste più…
Ciao Antonio, grazie per la segnalazione, il fatto è che ormai tutti i software sono stati aggiornati e quindi la lista è stata deprecata, provvedo ad eliminarla.
Ciao Giovanni,scusa il disturbo,questa lista sembra non essere più raggiungibile “https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-domains-ACTIVE.txt”
Ciao Antonio, grazie per la segnalazione, il link è vuoto cioè non contiene informazioni al suo interno ma è ancora presente. Ho effettuato un aggiornamento inserendo un nuovo link sempre dello stesso autore.
Ciao Giovanni,GRAZIE a te
Ciao,
il link https://cert-agid.gov.it/download/log4shell-iocs-raw-domain.txt
non è più valido, è stato sostituito dal seguente:
https://cert-agid.gov.it/download/LOG4SHELL/log4shell-iocs-raw-domain.txt
Ciao, io ho seguito le tue istruzioni per l’inserimento delle liste, qualche mese fà riuscivo a bloccare il 97% facendo il test con il link dedicato https://d3ward.github.io/toolz/adblock.html, ma adesso inserendo tutte le liste che hai specificato, più quelle di un altro sito https://firebog.net/ non riesco a superare il 40-50%.
Come si può risolvere?
Ciao, io personalmente con il solo pi-hole raggiungo il 60% questo risultato è ottenuto usando il browser Chrome che non è stato assolutamente configurato, ma lasciato con le opzioni di default, quindi senza nessun tipo di blocco presente e nessuna opzione della privacy attivata, questo per testare “veramente” il blocco effettuato dal solo pi-hole. Ho scelto Chrome proprio per verificare i blocchi effettuati sui tracker presenti e integrati su tale browser.
Devi capire che i server presenti sui siti web si stanno facendo sempre più furbi e usano vari tipi script che non possono essere bloccati dal pi-hole che lavora a livello più basso bloccando i server, per avere un 100%, bisogna operare a livello più alto e quindi intervenire anche sul browser , quindi la prima cosa da fare è installare un browser adeguato come Firefox seguendo la relativa guida https://www.navigaresenzapubblicita.org/guida-per-pc-windows-mac-o-linux-configurazione-di-mozilla-firefox/ e poi installare ublock origin con le relative liste qui la guida https://www.navigaresenzapubblicita.org/guida-per-pc-windows-mac-o-linux-plugin-add-on-ublock-origin/ e anche i gli plugin fondamentali che trovi qui https://www.navigaresenzapubblicita.org/guida-per-pc-con-sistema-operativo-windows-mac-osx-9-o-superiore-o-linux/#installazione-plugin-fondamentali
Ciao,io con pi-hole,firefox e ublock origin blocco il 100% se volete allego una foto xD invece solo con pi-hole senza firefox e ublock origin 97% ovvimanete seguendo le guide su questo sito 🙂
Ciao Giovanni,questa lista non è più disponibile “https://dl.threat-list.com/0/domains.txt”
Ciao Antonio, grazie per la segnalazione.
Stavo per aggiornare la pagina per inserire un nuovo link, ovviamente ho approfittato della tua indicazione per mettere il link “https://dl.threat-list.com/0/domains.txt” come da eliminare.
contento nel mio piccolo di poter contribuire al tuo grande lavoro
Ciao Giovanni,a me la lista “https://cinsscore.com/list/ci-badguys.txt” è raggiungibile
Fino a stamattina alle 8.30 la dava ancora vuota, ho testato anche io adesso e funziona, aspetto un pò per capire se hanno risolto definiticamene e poi la rimetto.
Grazie sempre per i tuoi interventi.
Ciao Giovanni,questa lista “https://bl.isx.fr/raw” sembra non essere più raggiungibile,anche su ublock origin
Ciao Antonio, l’ho provata adesso e mi funziona, potrebbe essere stato un problema momentaneo.
Ciao Giovanni,scusami,a me continua a non funzionare,boh…
Ciao, non sò cosa dirti a me funziona senza problemi anche da cellulare quindi senza pihole e/o wifi.
Prova a impostare su browser Firefox in “Privacy e Sicurezza” e poi nella voce “Attiva DNS su HTTPS utilizzando:” metti “Protezione massima” e come voce “Scegli il fornitore:” metti “Cloudflare”. Se cosi’ funziona hai qualche blocco sul pihole o sul tuo servizio di dns.
Ciao Giovanni,no,non funziona,ho cambiato anche conessione,sono stato a casa di mia sorella,senza nessuna protezione attiva,il sito non è raggiungibile,davvero strano…
Ciao, a questo punto avrai un blocco sul cellulare o su Firefox, controlla le app, la vpn se attiva. Ho fatto provare a vari amici con connessione Vodafone, Tim e Fastweb e il link https://bl.isx.fr/raw funziona senza problemi.
Ciao Giovanni,volevo aggiornarti sulla lista che non era raggiungibile,da oggi è tornata raggiungibile,ed io non ho modificato nulla
Ciao Giovanni una domandina c’è un modo di utilizzare PiHole su più reti diverse. ho 3 Vlan diverse e vorrei usarlo su entrambe, senza avere tre pihole diversi
Ciao, le vlan nascono per proteggere le varie reti vlan (appunto) da attacchi hacker e per la diffusione di virus, malware, trojan etc.. quindi non credo sia il caso aprire le porte delle vlan per farle accedere al pihole.
Ciao Giovanni,da qualche giorno la lista “https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/ALL-phishing-domains.txt” non è più disponibile
Ciao Antonio, grazie per la segnalazione ho provveduto a segnalare il link come da eliminare e ho aggiunto quello nuovo con i domini attivi di phishing.
Ciao, ti volevo semplicemente ringraziare per il lavoro che pubblichi.
Ciao, grazie mille per i complimenti e per aver dedicato il tuo tempo nel farlo.
ciao, volevo complimentarmi con l’ottimo lavoro svolto e segnalarti che la lista http://phishing.mailscanner.info/phishing.bad.sites.conf blocca anche youtube. Non so se è una cosa voluta, ma io l’ho disattivata.
Altra cosa, trovo molto scomodo il fatto che pihole non permetta di assegnare con un colpo solo un gruppo ad un insieme di liste, ma tocca selezionarne una lista per volta e associarla con il gruppo scelto. Un saluto.
Ciao, grazie per i complimenti, si per la lista indicata ho segnalato la problematica all’autore, inoltre ho aggiornato il mio script https://www.navigaresenzapubblicita.org/configurazione-e-personalizzazione-di-pi-hole/#whitelist-installazione-tramite-script dove ho provveduto a inserire nella lista bianca youtube e altri siti dove riscontravo problemi di navigazione (ad esempio aliexpress).
Ciao Giovanni,la lista “https://cert-agid.gov.it/download/LOG4SHELL/log4shell-iocs-raw-domain.txt” non esiste più
Ciao Antonio, il link è stato rimosso già ad aprile e grazie a una tua segnalazione, verifica i file backup del tuo pihole e aggiornali nel caso, per non ripristinare cose vecchie.
Ciao Giovanni,scusami,non sapevo pihole creasse file di backup
I file di backup li crei tu manualmente (menu setting poi teleporter e quindi voce backup). Il ripristino lo effettui nel caso di una nuova installazione e/o se riscontri anomalie/problemi, credevo che venissi da questa situazione.
no.non l’ho mai fatto…boh possibile che dimenticai di eliminarlo,solo adesso però mi ha avvisato (dopo aprile) che il link non era più raggiungibile
importate è aver risolto
Vorrei segnalare che da giorni non riuscivo ad aggiornare le liste e per farlo ho dovuto disabilitare dnssec. Penso che il problema fosse legato a ghithub
Ciao Francesco,un paio di anni fà( se scorri a ritroso la chat trovi la conversazione) ho riscontrato lo stesso problema e Giovanni mi consiglio questo:
Il problema sono i dns impostati del raspbian (il sistema operativo installato sul raspberry).
Facciamo il comando:
sudo nano /etc/dhcpcd.conf
Qui devi trovare la seguente riga (verso la fine del file):
static domain_name_servers=
e verificare che abbia i seguenti valori
1.1.1.1 1.0.0.1
Cosi’ come te li ho segnati con uno spazio tra un ip e l’altro. Se sono presenti degli ip differenti cambiali con questi indicati.
Adesso effettua questo comando per riavviare il servizio dhcpcd:
sudo service dhcpcd restart
Ora verifichiamo anche il file /etc/resolv.conf facendo questo comando
sudo nano /etc/resolv.conf
in pratica qui ora dovresti avere le seguenti righe:
nameserver 1.1.1.1
nameserver 1.0.0.1
Ora manca solo effettuare un test di connessione effettuando il comando:
dig navigaresenzapubblicita.altervista.org
Con questa procedura dovresti risolvere il problema dei DNS impostati sul raspbian installato sul raspberry.
Prova a vedere se risolvi,non credo sia stato un problema github
Allora innannzi tutto grazie Antonio per la tua risposta. Nella mia debian non ho il file /etc/dhcpcd.conf mentre il file /etc/resolve.conf viene impostato in automatico da pihole.
Ciao Francesco, la procedura indicata da Antonio è per il raspbian, comunque il problema a volte è l’uso della macchina/pc/server dove è installato il pihole che usa i dns dell’operatore che molto spesso sbarellano, ti consiglio di impostare i dns di cloudflare sul debian e anche sul file /etc/resolve.conf che sono del pigole
Ciao ragazzi,in realtà è possibile usare la guida anche su debian,io l’ho fatto,sto provando su un’altro vecchio pc debian xfce(l’ambiente grafico che mi piace di più) testing ed ho installato dhcpcd con il comando “sudo apt install dhcpcd -y” riavviato e seguito alla lettera la guida
Perfetto grazie Antonio, (io al momento non ho un dispositivo debian per fare test)
Segnalo la lista http://phishing.mailscanner.info/phishing.bad.sites.conf inaccessibile.
Grazie per la segnalazione, effettuato aggiornamento della pagina, il link è da eliminare in quanto abrogato. Ora il tutto è integrato in un software opensource e i file compressi gz non sono utilizzabili su pihole.
Si informa che il link è tornato online