#avis
Alors bien sûr j'aurais pu prendre blocky ou unbound avec des listes de blocage, mais l'interface web de Pi-Hole apporte un plus :
On peut jeter un coup d'oeil sur les requêtes DNS faites, et même par machine.
Et en deux clic, bloquer un host ou un domaine supplémentaire.
Typiquement je n'aimais pas que mon boitier XiaomiTV fasse des requêtes vers mi.com : Hop, bloqué.
Et *juste* pour le boitier.
Pouvoir bloquer ou autoriser un domaine pour un périphérique précis, c'est très pratique.
@sebsauvage moi j'utilise adguard home parce que je suis une grosse feignasse et comme le package existe sur openwrt, je l'ai installé en un clic sur mon routeur.
Il est super efficace y compris pour bloquer les contenus adultes.
@sebsauvage
Ça donne envie d’installer ça en catimini au boulot (L’ordi de récup qui fait VPN pourrait faire l’affaire.) 😈
@sebsauvage
Dois-je mettre mon routeur Synology à la poubelle ? 🤣 avant de l'acheter j'avais hésité avec Pi-Hole. Le routeur était plus simple côté mise en place (4 ethernet, 4 antennes...)
@sebsauvage J'ai voulu essayer en l'installant sur mon NAS, mais ma SFR box ne permet pas de règler les DNS... C'est assez chiant... J'étais assez content de leur offre Red Fibre pas chère sans box télé mais je pense que ça va me faire migrer chez Free qui a une offre Pop du même style maintenant...
Les pubs sur les périphériques non-PC genre box télé, c'est infernal en effet. Si ça pouvait dégager tout ça...
@jmessager
Si tu peux couper DHCP, Pi-Hole peut remplacer le DHCP de la box, et du coup forcer les DNS.
J'avais ce problème avec la LiveBox d'Orange: impossible de changer la config DNS.
Par contre on peu couper le serveur DHCP : Bingo !
(PiHole inclue aussi un serveur DHCP, désactivé par défaut)
@sebsauvage Aaaah... Mais comment la machine hote (vm ou raspberry dédié) va s'affecter son IP alors ? Avant que PiHole ne se lance ?
Il faut affecter une IP "en dur" ?
@jmessager
Alors oui, il suffit de configurer la machine qui héberge PiHole en IP statique.
Et après zou... ça roule.
Du coup mon Raspberry fait serveur DHCP et DNS, et ça marche très bien.
@sebsauvage Je vais creuser l'affaire ! :)
Et l'interface web permet aussi facilement de whitelister un domaine qui serait dans une liste de blocage en cas de soucis.
Voir même pour une seule machine.
Ce genre de chose est bien plus chiant à faire à la main dans des fichiers de config.
Il peut bloquer tout un AS ?
Comme AS15169 par exemple ?
@Gergovie
Attention c'est pas un firewall: c'est un serveur DNS avec des possibilités de filtrage.
(J'ai bloqué par exemple tous les sous-domaines de "mi.com", mais pas le bloc auquel il appartient.)
Donc non a priori tu ne peux pas bloquer un AS.
Pratique aussi de pouvoir créer des groupes avec des règles de blocage différentes, et de pouvoir assigner une machine précise à un groupe.
@sebsauvage merci pour ce retour. Est-ce que tu as testé Adguard ? Ça fait un moment que je procrastine sur le sujet et Adguard semble pas mal non plus.
@brunospy
Je n'ai pas testé AdGuard.
La différence avec PiHole d'après ce que j'ai pu lire:
- blocage "enfants/adultes" plus facile.
- il fait DOH et DOT, ce que ne fait pas PiHole (mais bon sur du LAN, je ne trouve pas que DOH/DOT soit vraiment utile).
- AdGuard ne fait pas de mise à jour automatique des listes de blocage.
@sebsauvage Bonsoir, #AdGuardHome fonctionne en #DoT, #DoH, #DoQ en tant que client mais aussi mais aussi serveur.
Cela signifie que tu peux utiliser le protocole de ton choix avec tes serveurs upstream (résolveurs DNS), et un protocole différent avec les clients (tes PC, tablettes, smartphones, imprimantes…).
La partie qui est sympathique est que tu as la possibilité de déclarer tes appareils et de permettre uniquement à ces appareils d’interroger ton DNS AGH. Ainsi tu peux utiliser ton serveur DNS depuis l’extérieur sans être un résolveur public (car non utilisable par les inconnus).
Je procède ainsi pour les appareils de ma famille. En prime tu peux générer un fichier MOBILECONFIG pour les appareils iOS directement depuis l’interface de gestion. De cette façon, il n’y a pas besoin d’être connecté en VPN sur une machine de ton LAN pour profiter de ton serveur DNS.
En ce qui concerne les listes de blocages, tu en as toute une tripotée à dispo, mais libre à toi d’en ajouter. Cependant je trouve que la liste est déjà très bien fournie de base. Ces listes se mettent à jour toutes les 24 heures par défaut, mais tu peux réduire ce temps si tu le souhaites.
AGH te permet de bloquer des services (liste mise à jour régulièrement) comme X, LinkedIn, WhatsApp…
Tu peux, comme #PiHole, choisir d’utiliser un résolveur local ( #Unbound, #Knot, #BIND…) ou un résolveur public via le protocole de ton choix.
Je partage ce lien un peu daté certes, mais qui est toujours applicable avec les versions actuelles pour les détails techniques de ce que je viens d’expliquer https://adguard.com/en/blog/adguard-home-on-public-server.html
Les développeurs de #AdGaurdTeam ont également développé un client DNS pour toutes sortent de systèmes d’exploitation. Tu peux ainsi utiliser tous les protocoles liés à DNS sur tes machines, même si le système d’exploitation ne prend pas nativement en charge ces protocoles. Exemple : DoQ sur Windows et Linux.
@sebsauvage @brunospy de mon côté, cela fait un peu plus de 6 mois que j'ai installé "adguard home" sur dietPi avec unbound et j'en suis plutôt satisfait:
- autant que je sache, il n'y a pas de version payante
- une liste de services est présente pour bloquer facilement des trucs comme 4chan, deepseek, etc.
- les mises à jour des listes de blocages sont automatiques, ou manuelles
Les défauts:
- le query log est affichable mais pas de filtrage avancé
- les modifications des différentes mises à jour sont parfois peu claire
- bloquer un domaine précis ou un host est possible avec des regex, moins pratique qu'avec pi-hole
@pepito6464
Merci pour ce partage !
