Ici on n'a que votre IP, votre pseudo et votre adresse mail que nous ne traitons pas.
Quand vous êtes enregistrés, une seule requête permet de vous afficher les messages que vous n'avez pas lus.
NOUVELLE ADRESSE PERMANENTE DU DÉPÔT: https://mirrors.o2switch.fr/primtux/repo/debs
ATTENTION, MERCI DE NE PAS METTRE À JOUR PRIMTUX7 UBUNTU 20.04 VERS LA 22.04, LES HANDYMENUS NE SONT PAS ENCORE COMPATIBLES!
Merci de cliquer ici si vous souhaitez vous inscrire sur le forum.

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Pi Hole : un serveur dns pour supprimer la pub
#1
Bonjour,

Depuis quelques semaines j’expérimente le soft "pi-hole" (j'ai longtemps reporté) sur ma rpi 3 qui fait office de serveur et je suis assez satisfait du résultat !

Mon but à titre perso était de voir et contrôler le flux entrant et sortant, de mettre du cache dns et de comprendre un peu plus certains fonctionnement réseaux par l'expérimentation.
Après usage, compréhension et un poil de config, je bloque 20% de mon trafique à la source (un peu plus si je tiens vraiment compte de la switch, de l'ordi du bureau sous windows et et de quelques usages mobiles de ma familly)

J'ai également environ 13% de mon trafic qui est directement servi par le cache dns (mais il faudrait que je teste sans mon cache dns sur mon ordi principal qui fausse un peu les données) et donc accélérer la résolution DNS.
Vu que je suis fibré, le ressenti n'est pas très visible mais ça à d'autres avantages.

Alors, j'avoue que pour en tirer pleinement profit, il faut un peu mettre les mains dans le cambouis :
1. A minima, il faut config sa box internet pour :
- utiliser le dns de la pi-hole
- attribuer une ip fixe à la pi-hole sur le réseau local. (si c'est dynamique, forcément, à chaque changement, il se vautre)
- attribuer un dns secondaire : si jamais le serveur dns du pi-hole ne répond plus, vous vous retrouvez sans internet alors qu'avec un dns secondaire, il bascule automatiquement sur ce dernier si le premier ne répond plus.

Sur ma box free, c'est vraiment très simple à configurer mais j'ignore pour les autres opérateurs.

2. rajouter des listes blanches et/ou noires pour consolider son filtrage.
Le mieux est de passer par des filtres tout fait (ça regorge sur internet) qui sont généralement étudié pour des usages précis :
https://nicolasforcet.com/2019/11/02/mei...et-autres/
Bien évidement, on peut rajouter nos propres filtres.

3. Forcer ces différents devices a utiliser une ip fixe sur son serveur local (ça se configure via sa box internet) :
1 ip pour chaque téléphone, 1 pour la switch, 1 pour la télé etc.
Une fois fait, on peut suivre le traffic pour chaque device repérer du traffic bizaroide.

4. Utiliser les fonctionnalités de DNS.
On peut créer ses propres noms de domaines et alias propre au réseau local.
Pratique pour :
- accéder à un serveur local via un nom de domaine
- forcer google.com à être redirigé vers qwant.com ou duckduckgo.com pour éduquer nos usages Wink

5. possibilité de sauvegarder sa conf pi-hole.
Une fonction "téléporter" permet de récupérer toute sa config dans un fichier.
Pratique si l'on veut :
- refaire à l'identique le jour ou son rpi rend l'âme (on est jamais trop prudent en terme de backup)
- reproduire une config sur un autre pi-hole sans y passé des heures
Seul point que je trouve dommage : ne pas pouvoir s'interfacer avec un service en ligne tel qu'un dépôt git (peut-être envisable via les api).
Ca permettrait d'update sa config sur git et la partager sur plusieurs instances de pi-hole par exemple.

Y'a encore des points que je n'ai pas pleinement explorés :
- utiliser le pi-hole comme serveur DHCP (pas vraiment d'utilité pour l'instant)
- utiliser les API de Pi-Hole. C'est plus barbu pour le coup
- accès en ssh : pour l'instant le service web est tellement exhaustif que j'en voit pas l'utilité.
- utiliser log2ram : stocker les logs en passant par la ram pour limiter au max les écritures sur la sd et/ou le ssd => ma mission de la semaine !

Avantages :

Pi-Hole permet d'améliorer le débit internet, de filter le traffic et de visualiser ce qui circule dans les tuyaux.
Il est basé sur des outils déjà éprouvés (dnsmasq, curl, lightttp) mais rend l'usage beaucoup facile en rajoutant une interface web cohérente pour orchestrer tout ce beau monde.
Ca fait le filtrage des pubs et autres cochonneries en amont à la différence de adblock et cie (attention, ça ne veut pas dire qu'il ne faut plus les utiliser, mais c'est très complémentaire)
et par conséquent couvre l'ensemble de son parc de machines en une fois et sur l'ensemble des navigateurs et sans télécharger la ressource. (un adblock va faire les choses en aval donc ne pas rendre visible un truc déjà téléchargé)
Ca va aussi améliorer le profilage (attention, ce n'est pas parfait et ça n'annule pas le bon sens et la responsabilité) en bloquant les stats google, microsoft etc souvent alimenté à notre insu sur des sites que l'on parcours.
Bien évidement, on amélore son impact environnemental (et financier).
C'est vraiment loin d'être gourmand : ça utilise 0.4% de mon cpu et 7.6% de ma ram sur mon rpi 3B+ : ça me semble parfaitement utilisable sur du rpi2 voir pi zéro.
J'ai été bluffé par la pertinence de certains blocages :
par ex: la switch envoi des stats régulièrement a nintendo.
dès l'activation du pi-hole, ces appels ont été bloqués mais ça n'a pas altéré l'expérience utilisateur.
Même constat : dès qu'on va sur des sites grand public : actualité, site sportif etc, ça bloque une tonne de pubs et fluidifie la navigation. (parce que mine de rien, ça sollicite pas mal le navigateur rien que pour l'affichage)

Les inconvénients :

Il faut un peu comprendre comment fonctionne le web, le réseau etc.
Ça peut bloquer un peu au début mais on ne peut que en ressortir gagnant.
Avoir en tête qu'il peut y avoir plusieurs niveaux de caches :
cache dns de pi-hole, cache dns de ton poste (j'ai nscd sur mon ordi et j'oubli par moment son influence), cache dans le navigateur (très persistant sur du mobile).
J'en parle peut-être trop tôt pour avoir un recul suffisant.

Mes déceptions :

- Pas de niveau de droits sur l'interface.
J'aurais bien aimé un compte admin ou l'on fait tout et des comptes utilisateurs ou on visualise juste.
- Pi-Hole fait du cache de DNS (donc ça accélère la résolution DNS) mais pas du cache HTTP donc il faut config des trucs en plus comme un serveur proxy pour faire ça.

Pourquoi en parler sur Primtux :

Dans un école et couplé à Primtux, ça peut avoir plusieurs avantages :
- filtrage non pris en compte par CTParental
- fitrage avant CTParental
- amélioration du débit internet dans des zones mal couvertes grâce au filtrage et au cache
- meilleur respect de la vie privé
- ça réduit l'impact cpu, ram des navigateurs car ça évite l'affichage de pubs inutiles.
- budget dérisoire : une pi zéro ne coûte rien et ne consomme rien

Ca ne devrait pas poser de soucis particulier à mettre en place par un ERUN voir un prof un peu techos.

Néanmoins, il reste d'autres outils qui peuvent déjà faire mieux que rien :

nscd : on install et ça lance un daemon qu'on oubli qui fait office de cache dns sur le poste utilisateur.
dnsmasq pour les plus aventureux

sans doute d'autres trucs mais j'ai pas approfondi.
Répondre
#2
J'avais testé il y a quelques années, et l'avais supprimé à l'usage pour je ne sais plus quelles raisons précises.
Il faudrait que je reteste !
Répondre
#3
Bonjour

Effectivement cela semble très intéressant

Pourrais tu mettre en ligne ou envoyer en MPrivé une copie de la config de ta box pour cette partie ...

Qu'est ce que tu as mis comme dns scondaire ?

Je pense qu'en usage scolaire plutôt que de mettre une ip fixe à chaque machine, il faut mettre une regle qui dise que toutes les machines
qui ne sont pas avec une ip locale fixe passe par le pihole et que la machine administrative du bureau de direction se voit attribuer une ip fixe locale et ne passe pas par le pihole.

Alain
Répondre
#4
Pour la config de la box, j'ai suivi ça https://www.dadall.info/article640/bloqu...le-freebox
Bien évidement, il faut identifier l'ip du pi-hole avant.

Pour le dns secondaire, j'ai repris le dns primaire par défaut de la box. (pourquoi faire compliqué :lol: )

Alain a écrit :Je pense qu'en usage scolaire plutôt que de mettre une ip fixe à chaque machine, il faut mettre une regle qui dise que toutes les machines
qui ne sont pas avec une ip locale fixe passe par le pihole...

En réalité, (voir mon premier lien) on configure une plage d'ip.
Du moment qu'on ne dépasse pas la plage, le serveur dns de la box attribue une ip aléatoire définit dans cette plage à chaque nouvelle machine.
Cette dernière est par conséquent automatiquement routé sur le dns du pi-hole.

Ma box a tendance a faire les choses bien : elle map une adresse mac avec une ip et du moments que le nombre de nouveaux périphériques (attention : pas actuellement connecté mais depuis l'achat de la freebox) ne dépasse pas la plage, ça ne pose aucun soucis : les ip seront fixes.
L'avantage d'avoir des ip fixes c'est seulement dans le cadre ou on a peur de dépassé et surtout que l'on veut identifier avec exactitude quel périphérique a quel trafic.
Je pense que dans plein d'écoles, on a pas besoin de ce niveau de précision...

Pour le poste du bureau d'admin, j'imagine que si on alloue une ip hors de cette plage, il ne sera pas impacté par le pi-hole.
Maintenant, je peine a voir l'utilité : j'estime qu'il serait tout aussi gagnant (voir plus) de supprimer les pubs invasives.
Répondre
#5
Merci pour ces infos
Je vais tester avec la sfr box et mon raspberry
Alain
Répondre
#6
Pihole me semble recommandé pour etre un filtrage efficace sur tous les peripheriques du reseau
quelques conseils
utiliser le tutoriel https://www.mathix.org/wiki/doku.php?id=wiki:pihole avec options zram et log2ram
si on veut un filtrage efficace
il faut ajouter les listes mhhakim dans groupmanagement , ajouter ajout dns google safe search et installer

https://github.com/jaykepeters/PSS


Download the Pi-hole SafeSearch script:

wget https://raw.githubusercontent.com/jaykep...eSearch.sh

Move the script.

sudo mv ./Pi-hole_SafeSearch.sh /usr/local/bin/

Make the script executable.

sudo chmod a+x /usr/local/bin/Pi-hole_SafeSearch.sh

Enable Pi-hole SafeSearch:

sudo Pi-hole_SafeSearch.sh -e


Ensuite il ne faut pas hésiter à mettre en dns1 et dns2 des tablettes ou autres peripheriques l'adresse ip du pi hole

Alain
Répondre
#7
Effectivement, très complémentaire, merci ! Big Grin Big Grin

J'ai fait les mêmes manip que toi à peu de choses prêt.
J'ai pas utilisé SafeSearch : si tu peux détailler à quoi ça sert ?

Petites précisions :
- zram permet d'éviter de swapper et donc ralentir le serveur DNS (surtout utile sur des vielles version du rpi ou des pi zéro)... rien à voir avec la qualité du filtrage
- log2ram, c'est surtout utile pour éviter trop de cycles d'écritures et donc endommager prématurément les cartes SD ou les disques SSD... rien à voir non plus avec la qualité de filtrage.
Répondre
#8
J'avais oublié de faire un saut de ligne entre la ligne zram et log2ram et la ligne " si on veut un filtrage efficace ..."

Effectivement cela n'a pas grand chose à voir mais je pense que si quelqu'un qui veut installer pihole sur un raspberry c'est une manip à effectuer au moins pour log2ram ...

Pour ta question
quand tu utilises les listes de mhhakim tu bloques l'acces aux sites avec des images et des videos très hot ! mais pas les images associées sur les moteurs de recherche.
En faisant une recherche sur google images tu as vraiment des choses pas adaptées...
donc le fait de déclarer safesearch sur le pihole evite d'avoir à configurer tous les navigateurs de tous les périphériques avec l'option safesearch activée sur google, bing et duckandgo

Je précise que pour que cela soit vraiment efficace il faut déclarer l'adresse ip du pihole sur dns1 ET DNS2

A titre d'info, nous avons 6 tablettes en circo que nous pretons aux ecoles,

Il m'a fallu une heure pour les configurer avec le proxy academique et regler les parametres safe search sur les 2 navigateurs presents
et les eleves ont à chaque fois besoin de rentrer l'identifiant d'ecole proxy avant de se connecter s'ils vont sur internet ...
Cela ne pousse pas à l'utilisation du proxy académique !

Si j'avais eu le rasperrypi avec pi hole cela m'aurait pris 5 min et surtout les élèves n'auraient plus eu besoin de rentrer l'identifiant proxy !
Cela permet également l'utilisation en securité dès la maternelle et cela fait gagner enormément de temps.

Comme la fonction première du pihole (le bloquage de publicités ) est aussi très efficace (je consulte regulierement le bon coin et des journaux en ligne et je peux dire que la navigation est nettement plus fluide avec ) et que la consommation d'un raspberry est minime cela me semble donc un outil indispensable avec cette configuration ... surtout que cela n'a rien à envier à ce qui est proposé commercialement à des prix stupéfiants !
Répondre
#9
Alain a écrit :J'avais oublié de faire un saut de ligne entre la ligne zram et log2ram et la ligne " si on veut un filtrage efficace ..."

Ah, ok, je comprend mieux.

Alain a écrit :quand tu utilises les listes de mhhakim tu bloques l'acces aux sites avec des images et des videos très hot ! mais pas les images associées sur les moteurs de recherche.

Ah oui, j'avais pas pensé à ça... je vais installer !

Pour tes explicatifs sur le proxy académique, c'est fort intéressant et ça montre encore une fois que ce genre d'initiative (rien que d'en parler, conseiller, documenter) à du sens !
Répondre
#10
Pour compléter ce post voici quelques infos sur la façon de configurer les périphériques voisins et cette vidéo qui explique comment utiliser les listes de Toulouse pour améliorer le filtrage
Répondre
#11
Voici un lien pour télécharger une image fonctionnelle du pihole

https://drive.google.com/file/d/16dy8CmG...sp=sharing


Déploiement pihole
Rappel : Le pihole est un dispositif qui permet de filtrer efficacement la publicité lorsqu’on navigue sur internet
La maquette proposée est une version qui filtre également les sites pornographiques et la recherche d’images non adaptées sans que l’on ait à activer la fonction save search sur tous les navigateurs et sur les moteurs de recherche (google, duckandgo , bing )
Une fois que le pihole est installé il faut moins d’une minute pour régler un périphérique du réseau pour qu’il bénéficie de cette protection.

Contraintes pour le déployeur :

disposer d’un adaptateur carte usb microSd ou d’un adapateur usb /microsd
avoir fait installer balena etcher sur un poste windows

avoir fait livrer le raspberry et la carte préconfigurée ( 16 gigas mini, 32 gigas conseillés ) ou donner le lien de telechargement,

telecharger le fichierde 6 gigas
verifier son md5 : DC1CD611B1049986A467AD81FC5BE32C

utiliser balena etcher pour retrouver le fichier téléchargé et l’installer sur la carte microsd soit à l’aide d’un adaptateur sd→micro sd ou clef usb avec micro sd

A la fin de l’operation retirer la microsd de l’adaptateur et l’insérer dans le raspberry débranché

raccorder le raspberry en ethernet sur le reseau de la box
rajouter un clavier usb et une souris usb
brancher un ecran (un adaptateur hdmi peut être necessaire )

allumer le raspberry en le raccordant au secteur
attendre l’affichage
accessoires terminal sudo su
pihole -r
reconfigurer (ne pas choisir repair ) cela prend environ 3 minutes
eth0 comme interface privilégié
quad9 filtered dnssec
puis ok partout
reperer l’adresse ip du pihole donnée par le systeme
si on a le temps aller sur le pihole tools et update gravity

Connaitre le mot de passe admin du routeur ou de la box pour l’administrer et fixer l’adresse du raspberry sur la box

Configurer le materiel du reseau
modification du dns1 et 2 sur les tablettes
ou sur pc parametres carte reseau ip 4 propriétés mettre l’ip du pihole en dns1 et 9.9.9.9 ou 127.0.0.1 en dns2

Si on veut travailler à distance, avoir un outil installé permettant la prise à distance sur un pc (exemple teamviewer ou dws ; verifier si les outils realvnc, balena etcher sont également installés
demander de mettre dans un dossier le mot de passe de la box.

Si l’on utilise dwservice, lancer dwagent avec l’option executer
lancer dwagent et communiquer identifiant et mot de passe
prendre la main sur la machine

A savoir cette version de pihole est également préconfigurée pour proposer
un acces par vnc (utilisateur pi, mot de passe raspberr )
le pi-hole est configuré en mode serveur avec lighttpd, php, mariadb sqllite et phpmyadmin
Ce serveur web local offre la possibilité d’uploader des fichiers en http
Ce serveur web est également préréglé à la façon d’un symbaloo fonctionnant en local ce qui permet à des élèves non lecteurs de maternelle d’utiliser les possibilités du navigateur avec une autonomie maximale.
Ce serveur web peut accueilir sans presqu’aucune modification des copies de sites qui fonctionneront en local exemple (pragmatice_archive , pages dynamiques de primtux [achat , balance, histoires à remettre en ordre ]) et cela même s’il y a du flash ( exemple matou matheux ,pepit, )
Ce serveur web est préconfiguré avec un wordpress spécialement adapté pour les écoles avec des modules adaptés ( insertion facile de médias, de pdf, d’iframes , commentaires possibles avec images , modération facilitée, H5P avec suivi des résultats pour les utilisateurs authentifiés, import d’utilisateurs avec mot de passe simplifié au maximum, duplication d’articles ,duplicateur de site pour transfert vers xampp ou mws ou sur site web sur internet )
Ce serveur local sera accessible par tous les périphériques situés sur la même plage réseau

Une fonction de serveur de fichiers en mode lecteur reseau est également intégrée et activée pour permettre au pi hole de servir de nas ...

Les risques de dommage sur la carte micro sd sont minimalisés grâce à l’application log2ram.


Remerciements

Mhhakim : liste de filtrage
Jaykepeters : filtrage image des moteurs de recherche
Eric Chenavier et l’association Pragmatice : applications orthodefi et lectorbus
Répondre
#12
Alors c'est pas mal du tout. J'ai toutefois plusieurs questions:
- Si je comprends, quand on met un lien, il remplace celui qui y était déjà, mais comment met-on l'image dans le tableau et les liens locaux?
- Je ne trouve pas le login et mot de passe wordpress et on n'a pas les images de la page d'accueil
- On atterit sur l'admin quand on tape l'ip du rpi, ne serait-ce pas mieux de tomber sur le tableau avec les liens?

Je dirais que c'est à peaufiner mais prometteur.
Répondre
#13
@Alain : je conseillerais, dès qu'on a une rpi 4 ou supérieur de passer par un disque physique (SSD dans l'idéal) plutôt qu'une carte SD : c'est pas beaucoup plus cher et je pense qu'on multiplie par au moins 10 la durée de vie.
Avec log2Ram, on évites des cycles d'écritures mais le pi-hole est quand même assez exigeant mine de rien même avec cet astuce.
Une fois bien installé/configuré, le pi-hole va forcément être "oublié" : il serait dommage que les utilisateurs se rendent compte que la carte SD ne marche plus quand :
- internet ne fonctionne plus (bon, ça c'est dans le cas ou l'on a pas prévu de DNS de secours)
- il n'y a plus aucun filtrage du contenu
Répondre
#14
A Steph

pour le wordpress
il y a une manip a faire dans une table avec phpmyadmin
ouvrir http://localhost/phpmyadmin
puis la base wordpress0
puis la table stquay_options
ignorer les erreurs affichées en rose
modifier la valeur des 2 premiers enregistrements en mettant l'adresse ip du pihole à la place de localhost
ne pas oublier d'enregistrer chaque modification

Ensuite il n'y aura plus rien à faire sauf si on change l'ip
On peut quitter phpmyadmin et revenir sur


se connecter avec identifiant root1 mot de passe admin et là tout devrait fonctionner affichage des images de l'h5P etc ...



pour les tableaux avec les icones
il y a 2 possibilités travailler
A) avec lectorbus et orthodefi
adresse de connexion
http://ip_pihole/ab5/sl

Pour changer de texte il faut utiliser la baleine rouge
une petite video explicative 1 min 46 secondes à regarder entre 30s et la fin ici https://22.tuic.fr/lectorbus.mp4


B) avec des liens que l'enseignant propose
adresse de connexion
http://ip_pihole/ab0/ab



en dehors du pihole c'est une adaptation de ce que je propose sous windows en version totalement portable donc ce qu'il y a sur le raspberry est juste là au cas où les antivirus ou parefeu de windows empechent le fonctionnement du xampp

cf
https://abotrel-drive.mytoutatice.cloud/...CCfJVWnb5s (245 mégas )

le mode d'emploi est ici
https://abotrel-drive.mytoutatice.cloud/...imDfAig2PX (moins d'un mega )
Répondre
#15
Merci Mothsart
je n'ai pas de pi4 mais si j'en avais un, je suivrai ton conseil ...
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)