Wi-Fi síť pro hosty s jinou DNS

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #15 kdy: 07. 10. 2020, 11:59:35 »
Tak a přesně proto se DoH vyřazuje v takových řešeních na prvním místě (a nikdo si to nedovolí ve finále obejít protože korporace a firemní sítě), a přesně proto je třeba doplnit https inspekci (lépe řečeno modifikaci) aby to fungovalo rozumně.

Což Vám bude taky brzy k prdu, až se nedostanete k informaci ze SNI. Pak už zbude jen proxy server a přetloukat certifikáty interními (což zase nemají všechny aplikace v lásce).


jouda2

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #16 kdy: 07. 10. 2020, 12:16:27 »
Co takhle zkusit adblock přímo na routeru - plnohodnotnný je docela nenažraný bumbrlíček, ale adblock-simple funguje dobře.
To je jak tak rychle koukám snad to samé, nějaká forma ip firewallu + úprava DNS.
Někde to funguje, ale je spousta stránek nebo aplikací, kdy narazíte na limity. Třeba inline image (to bez rozbalení https nevyřešíte), reklama na stejném hostu jako užitečná data, nebo když malware obsahuje část nutné funkcionality takže abyste všechno nerozbil, musíte klientům dodat desinfikovanou stránku.

jouda2

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #17 kdy: 07. 10. 2020, 12:24:53 »
Což Vám bude taky brzy k prdu, až se nedostanete k informaci ze SNI. Pak už zbude jen proxy server a přetloukat certifikáty interními (což zase nemají všechny aplikace v lásce).
Přečtěte si prosím ještě jednou na co odpovídáte, o žádném SNI tu není řeč. A pak si přečtěte třeba tohle https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet

ad certificate pining - v tomto případě věřím v moc volného trhu. Banky se obvykle dávají do whitelistu, a zbytek - hádejte kdo si lajsne od své úžasné aplikace odříznout nudící se korporátní zaměstnance kteří se tam přes ten jejich websense prostě nedostanou.
(mimochodem, nechcete politiku a propagaci DoH řešit v samostatném vlákně?)

Edit: Navíc si račte uvědomit, že je diskuse jak to chápu "jak ve své síti plošně vyřešit blokování reklam/malware" - tady bych viděl vypnutí všech nesmyslů které vznikly s jasným business modelem "ať můžu uživatele šmírovat jen já a nikdo další" jako první věc.
« Poslední změna: 07. 10. 2020, 12:30:09 od J ouda »

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #18 kdy: 07. 10. 2020, 12:30:05 »
(mimochodem, nechcete politiku a propagaci DoH řešit v samostatném vlákně?)

Můžeme.

Hlavní moje sdělení bylo, že filtrovat na úrovni DNS požadavků je nevhodné a neúčinné. Běžnému uživateli to zkomplikuje život, virus nebo šťouravého uživatele to nezastaví. A podle popisu leží problém jinde - v tom, že padá něco, co by mělo běžet.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #19 kdy: 07. 10. 2020, 13:00:04 »
Miroslav Šilhavý: Asi to casem skutecne skonci, ale mel jsem tu jedno RPi volne a cetl o Pi-hole, tak zkousim, co vse je a neni mozne. Nepracuji v IT, tohle je konicek. Existuje neco ucinnejsiho nez blokovani pomoci DNS, co lze pouzit i v domacim prostredi?

Jose D: Diky.

Bugsa: Ja ma za to, ze kdyz zadam druhou DNS, tak co Pi-hole zablokuje, to druha DNS zase pusti a nebude to fungovat.



Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #20 kdy: 07. 10. 2020, 13:05:12 »
Existuje neco ucinnejsiho nez blokovani pomoci DNS, co lze pouzit i v domacim prostredi?

Podle toho, co řešíe. Pokud jde o Vaše domácí počítače, tedy stroje, kde můžete něco nainstalovat, spravovat a domluvit se s členy domácnosti, pak je účinnější nějaký blokovač do prohlížeče.

Pokud potřebujete chránit síť bez ohledu na to, co uživatel natropí, pak bych zatím využil reverzní proxy, která dokáže blokovat i HTTPS požadavky. Je to ale odvislé od SNI, na které se taky nedá 100% spolehnout.

A pokud potřebujete ještě vyšší ochranu a zároveň máte přístup k počítačům, pak to řešit přes nastavení proxy serveru a pinování certifikátů (tj. proxy server důvěřuje CA, které má povolené, ale dovnitř do sítě užívá svůj interní certifikát).

Vše záleží na očekáváních a tom, kolik času tomu chcete dát.
Osobně bych dál než do ad blockeru nešel (a i ten způsobuje tu a tam problémy).

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #21 kdy: 07. 10. 2020, 14:10:22 »
Jde mi o beznou domaci sit = router, pocitace, notebooky, mobily. V prve rade moje vlastni, v druhe rade kdybych to nekdy zarizoval nekomu jinemu, lehce pokrocilejsimu uzivatele alespon trochu dbajicimu na bezpecnost. Melo by to chranit proti malware, otravnym reklamam a telemetrii-stalkingu.
Z tohoto duvodu je blokovac do prohlizece nedostatecny, neb nektere weby detekuji prave tyto blokovace a navic to neresi ostatni programy nebo veci typu televize pripojena k internetu.
Plus by to mel zvladnou zaridit i clovek, ktery se IT nezivi a ma to jako konicka. Bohuzel nemam pristup k jikomu, kdo se necim podobnym zivi nebo se v tom vyzna, protoze realna zkusenost je vzdycky lepsi nez 100 navodu z internetu.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #22 kdy: 07. 10. 2020, 14:13:23 »
Rozumím.
Ty zkušenosti jste zde obdržel. To, co očekáváte, naplnit nelze a jsou k tomu různé technické důvody, ne neschopnost či neochota. Pokud Vás před tím odrazuji, tak jen kvůli tomu, abyste neztrácel životní čas nad věcí, kterou by spousta lidí ocenila a nikdo neumí pořádně vyřešit.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #23 kdy: 07. 10. 2020, 14:18:26 »
I zkusenost, ze vyfukovanim tabakoveho koure do vody zlato nevznika, musel nekdo ucinit. Takze dekuji vsem pritomnym za pomoc, alespon ted vim, kde jsou limity. Pi-hole necham bezet, dokud to bude alepson trochu fungovat a pak se uvidi.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #24 kdy: 08. 10. 2020, 13:35:46 »
Jde mi o beznou domaci sit = router, pocitace, notebooky, mobily. V prve rade moje vlastni, v druhe rade kdybych to nekdy zarizoval nekomu jinemu, lehce pokrocilejsimu uzivatele alespon trochu dbajicimu na bezpecnost. Melo by to chranit proti malware, otravnym reklamam a telemetrii-stalkingu.
Z tohoto duvodu je blokovac do prohlizece nedostatecny, neb nektere weby detekuji prave tyto blokovace a navic to neresi ostatni programy nebo veci typu televize pripojena k internetu.
Plus by to mel zvladnou zaridit i clovek, ktery se IT nezivi a ma to jako konicka. Bohuzel nemam pristup k jikomu, kdo se necim podobnym zivi nebo se v tom vyzna, protoze realna zkusenost je vzdycky lepsi nez 100 navodu z internetu.

Ten adblok co jsem myslel já je na routeru, dá se doinstalovat do normální instalace openwrt a funguje nejen na weby, ale i na různé hry a aplikace i smarttv - co nedává je YouTube. Jinak nevím, že by nějakou stránku/aplikaci vysloveně rozbil - co samozřejmě ale nefunguje jsou třeba odměny za sledování reklamy v duolingu. Ale aplikace jako taková v pohodě funguje

_Jenda

  • *****
  • 1 592
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #25 kdy: 08. 10. 2020, 18:32:49 »
I zkusenost, ze vyfukovanim tabakoveho koure do vody zlato nevznika, musel nekdo ucinit. Takze dekuji vsem pritomnym za pomoc, alespon ted vim, kde jsou limity.
Nechápu, vždyť řešení je hned v první odpovědi. Vytvoříš druhou wifi síť, pustíš pro ni druhý dnsmasq, a nastavíš mu jiný rozsah IP adres a jiné DNS.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #26 kdy: 08. 10. 2020, 21:57:46 »
KoalaM: Aha, Adblock na Openwrt, coz podle me bude podobne jako Pi-hole na Turrisu, coz by take malo jit provozovat.

Jenda: To bylo spis mysleno na to, ze si v budoucnu budou aplikace pouzivat vlastni DNS.