Usando o Pi-Hole, um filtro de DNS

Algo bem legal de usar o raspberry pi é usar ele como servidor de DNS, para bloquear algumas propagandas. E existe uma solução perfeita para isso chamada pi hole.

Primeiro temos que saber o que é DNS.

DNS é o Domain Name System, um sistema que responde qual o ip de um determinado nome. Basicamente ele traduz nomes em endereços de ip. Antes de existir o DNS, não existiam páginas como google.com, tudo era um endereço de ip, e você tinha que ter uma listinha de ips que te interessavam, até que alguém fez o dns para tirar essa listinha da sua mão e deixar num servidor, porque é mais prático, e mais simples lembrar de google.com do que um endereço de ip.

Pra entender melhor, no terminal no linux, a gente tem o programa chamado host que diz em qual ip um endereço responde, então por exemplo o google.com

augusto@augusto-xps:~$ host google.com google.com has address 216.58.202.174 google.com has IPv6 address 2800:3f0:4001:815::200e google.com mail is handled by 30 alt2.aspmx.l.google.com. google.com mail is handled by 40 alt3.aspmx.l.google.com. google.com mail is handled by 20 alt1.aspmx.l.google.com. google.com mail is handled by 50 alt4.aspmx.l.google.com. google.com mail is handled by 10 aspmx.l.google.com.

Ele na verdade está no ip 216.58.202.174, o programa host fez uma pergunta para o DNS, e esse respondeu. Agora, veja que o google.com.br está em outro endereço.

augusto@augusto-xps:~$ host google.com.br google.com.br has address 216.58.202.3 google.com.br has IPv6 address 2800:3f0:4001:807::2003 google.com.br mail is handled by 40 alt3.aspmx.l.google.com. google.com.br mail is handled by 10 aspmx.l.google.com. google.com.br mail is handled by 20 alt1.aspmx.l.google.com. google.com.br mail is handled by 50 alt4.aspmx.l.google.com. google.com.br mail is handled by 30 alt2.aspmx.l.google.com.

No caso 216.58.202.3, provavelmente porque deve estar mais perto da gente, para evitar ter que percorrer uma grande distância física, mas isso não vem ao caso agora.

Então o DNS é uma lista que fala qual ip está associado a qual nome. Normalmente a gente usa o dns do nosso provedor, ou o do google, mas ter controle sobre o dns pode ser interessante, para bloquear endereços indesejados de propagandas por exemplo, que é o que o pi hole faz.

Para instalar ele no raspberry é bem fácil, começamos fazendo um update e upgrade.

sudo apt-get update
sudo apt-get upgrade

E para instalar

sudo curl -sSL https://install.pi-hole.net | sudo bash

Veja que eu coloco o sudo, porque precisamos ser root, e eu achei mais fácil assim. E pronto, acabou, eu escolhi todas as opções default na instalação e já era. Meu Raspberry é um servidor de DNS bloqueando links indesejados.

Agora quando todo mundo conecta no meu roteador, eu tenho que avisar a todos dispositivo que é para usar o raspberry como DNS, então precisamos agora alterar no roteador isso, que no meu roteador dlink fica logo na tela inicial que se configura a conexão.

Bem simples, agora meu raspberry, que está no endereço de rede interno 192.168.0.3 fixo funciona como DNS server, todo mundo pergunta para ele qual o IP das páginas, claro que não está tudo nele, num grande arquivo, existe uma hierarquia de procura, mas depois vemos isso, o que interessa é que ele da a resposta final, você fala um nome e ele da o ip.

Como tudo não são flores, eu tive um problema que o pi hole começou a bloquear meus javascript, temos que consertar alguns problemas que tive. Lembra que deixo o raspberry em kiosk mode? Então, meu kiosk mode pifou sem javascript, na página, o javascript vinha assim:

x = "Pi-hole: A black hole for Internet advertisements."

Mas com algumas buscas eu vi que ele altera alguns arquivos, nesse caso esse arquivo /etc/lighttpd/lighttpd.conf, então precisamos fazer uma pequena modificação nele.

sudo emacs /etc/lighttpd/lighttpd.conf

O arquivo é grande, mas o problema são essas duas linhas, que basta comentar, e inserir um comentário acima para lembrar que fomos nos que comentamos.

# Impede o uso de javascript # Rewite js requests, must be out of $HTTP block due to bug #2526 # url.rewrite = ( "^(?!/admin/).*\.js$" => "pihole/index.js" )

Feito isso tudo volta a funcionar. Agora para entender o que está sendo feito, como o pi hole está funcionando, veja como uma página como o pirate bay fica sem bloquear o DNS de propaganda.

Agora bloquando, a gente ve o seguinte.

Não abre as propagandas, ou seja, quando o navegador pergunta, ei DNS, qual o ip dessa propaganda para que eu possa baixar as imagens, o DNS fala que não achou e pimba, a gente não baixa a imagem, e fica desse jeito a página. Ai você pode dizer, a, mas eu uso algum bloqueador já, mas de qualquer forma você baixou a imagem e depois bloqueou, dessa forma você nem baixa propaganda, o que pode diminuir até o seu tráfego. Além de que, você pode bloquear páginas maliciosas também de quebra.

O pi hole tem um menu para administração.

Ele traz uma série de informações, e ao fim da instalação, ele te da uma senha gerada automática para acessar esse menu de administração.

Nele podemos ligar e desligar, mexer em várias opções, podemos curiosar inclusive sobre o tráfego, o que está mais sendo bloqueado.

So de olhar os endereços bloqueados, a gente ve o tanto de informação que deve estar mandando para caras como o google, sobre nossa atividade na internet, além das propagandas.

Veja que quem está fazendo mais requisições de DNS, lembrando que 192.168.0.1 é o meu roteador, ou seja meu notebook pergunta o DNS pro roteador, que pergunta pro raspberry, que resolve, e devolve pro roteador que devolve pro notebook, por isso as requisições vem todas do 192.168.0.1.

E podemos resolver nossos próprios endereços também. No arquivo /etc/dnsmasq.d/01-pihole.conf temos algumas configurações interessantes.

pi@rasp_levins:~ $ cat /etc/dnsmasq.d/01-pihole.conf # Pi-hole: A black hole for Internet advertisements # (c) 2015, 2016 by Jacob Salmela # Network-wide ad blocking via your Raspberry Pi # http://pi-hole.net # dnsmasq config for Pi-hole # # Pi-hole is free software: you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation, either version 2 of the License, or # (at your option) any later version. ############################################################################### # FILE AUTOMATICALLY POPULATED BY PI-HOLE INSTALL/UPDATE PROCEDURE. # # ANY CHANGES MADE TO THIS FILE AFTER INSTALL WILL BE LOST ON THE NEXT UPDATE # # # # IF YOU WISH TO CHANGE THE UPSTREAM SERVERS, CHANGE THEM IN: # # /etc/pihole/setupVars.conf # # # # ANY OTHER CHANGES SHOULD BE MADE IN A SEPERATE CONFIG FILE # # OR IN /etc/dnsmasq.conf # ############################################################################### addn-hosts=/etc/pihole/gravity.list addn-hosts=/etc/pihole/local.list addn-hosts=/etc/pihole/black.list domain-needed localise-queries bogus-priv no-resolv server=8.8.8.8 server=8.8.4.4 interface=eth0 cache-size=10000 log-queries log-facility=/var/log/pihole.log local-ttl=300 log-async

Veja que no começo, ele chama 3 arquivos, que são listas de nomes com ips para resolver, no caso a lista local.list, da nossa rede interna aqui em casa tem.

pi@rasp_levins:~ $ cat /etc/pihole/local.list 192.168.0.3 rasp_levins 192.168.0.3 pi.hole

Agora quando eu digito http://pi.hole eu sou mandando para o ip 192.168.0.3, ou seja para acessar o pi.hole, eu posso usar http://pi.hole ao invés de http://192.168.0.3. Lembra do comando host la que usamos la em cima, veja so

Agora por exemplo podemos fazer um atalho, ou simplificar para usar o ssh, que também usa o DNS, podemos adicionar rasp_levins.local naquele aquivo com o ip 192.168.0.3, assim:

192.168.0.3 rasp_levins 192.168.0.3 pi.hole 192.168.0.3 rasp_levins.local

E agora basta usar ssh pi@rasp_levins.local ao inves de ssh pi@192.168.0.3.

Bem é isso ai, algo que não mexemos aqui é na interface que o pi hole tem, mas eu vou colocar alguns gráficos no kiosk mode ainda, e se eu escrevi alguma bobeira, algo errado, deixe um comentário corrigindo ou mande um e-mail.

Leave a Reply

Your email address will not be published. Required fields are marked *