HTTP/HTTPS vyhradne len s proxy

[SB]

Moc se s tím se**te.

Dle příspěvků asi úplně zběhlým v administraci serverů nejste. Pak nejjednodušším řešením v poměru výkon/námaha je pouze nastavení serveru DNS (v routeru), který to udělá za vás. Zrovna včera jsem tu uváděl https://adhole.org/. K tomu je vhodné pro jistotu na firewallu zablokovat adresy profláklých serverů DNS jako 4 osmičky atd., ale není to nutné.
V případě, že byste chtěl blokovat i něco navíc, už budete muset Pi-hole nainstalovat a donastavit. Dodatečná filtrace dle IP se taky hodí (ale už je to víc práce).

[Reklama]

[kvas]

Moc se s tím se**te.

Dle příspěvků asi úplně zběhlým v administraci serverů nejste.

plne s vami suhlasim. ale ako pisem dole, tomu routru asi nie je mozne nastavit vlastny DNS.

nasiel som inu diskusiu, kde to tiez riesili.
https://linuxos.sk/forum/24221/

este ma napadlo: na telekomackom routri vypnut wifi, a zan pridat moj vlastny a ten si uz mozem nastavit ako potrebujem do zblaznenia:)

[Bugsa]

Pokud nelze nastavit vlastní DNS servery, tak dalším řešením je ve firewallu veškeré requesty z LAN na portu 53 forwardovat na IP a port vlastního DNS serveru, což může být to raspberry s pihole. Případně DHCP na routeru úplně vypnout a používat to integrované v pihole.

[kvas]

zial port forwarding sa tu da nastavit len smerom WAN - > LAN

[jouda2]

Ahoj, poradite mi prosim ako dosiahnut tento stav?

Ano, takhle to doma mám. Ale v jedné větě, pokud se ptáte jak toho dosáhnout, tak to nechcete (s výjímkou DNS blacklistů, ty jsou snadné a celkem účinné, ale nepokryjí všechno).
Protože zjistíte, že inspekce https u těch odolnějších stránek nestačí, protože reklamu mají třeba jako inline obrázek, nebo přes random URI etc. Takže potřebujete nějak modifikovat i obsah a to individuálně a manuálně.
Takže ano, co je potřeba aby to chodilo:
DNS (kam dáváte blacklisty - bind, ...)
Vlastní CA - naimportovat cert do zařízení
Connection profily (iPhone) / nastavit ručně? (Android)
StrongSWAN (IPSec VPN aby přes to šly mobily i mimo WiFi)
squid s ssl-bumping
vlastní ICAP server v oblíbeném jazyce kde řešíte stránky hodné manuální pozornosti
spoustu času si s tím hrát
Jo a blokovat všechny DoH providery.

[Reklama]

[motyq]

V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on) -> tam kdyz nastavite 46.4.165.226 (nemecka ip pro adhole.org), tak by vas router a klienti ve vasi siti meli resolvit pres adhole.
To by melo makat i na tech nejhloupejsich zarizenich

DHCP na vasem routeru posila jako DNS ip samu sebe (ip na lan rozhrani toho routeru) a "vnitrne" ten pozadavek pak prehodi na ten adhole v nemecku.

[mikesznovu]

Vynutit dns :netreba zadahovat do hostu, Dhcp jim pridelu tvoji dns, muze bezet i v routru.
Hrozi ale ze si nastavi dns sam, nebo nejaka aplikace , posledni dobou browsery maji moznoat brat dns pod sebe.
 Takze zakazat porty port 53. Mimo dst tveho routru. To same u 853(DoT). To same u 443 (DoH). Hle... Problem , to nerozlisis. Ledaze bys jeste blokoval zname dns 8888, 1111 atd. to ale zabihame uz hodne daleko, sli by toho navymylet vic, transparent proxy 53, inspekce SNI. Stejne kdo chce, tak si to nejak cestu najde. Takze se staci jen zamerit na bezne pripady, coz bohate staci  ta blokace 53 a 853.

Dal nastavit vseljaky canary zaznamY  jako use-application-dns.net, tak nejak.


Ta inspekce SNi by me zajimala. Jak to bere vykon, stoji to za to, da se to obejit  sifrovanym sni a nebo zakryvanim sni (sni www.google.cz  funguje s Host:blabla.appspot.com), kdyz nsm uvedene vyse?


BtW: proc kdy a jak se prejmenovalo pihole na adhole? Zrovna kdyz jsem mel pocit ze to zacina technologicky byt zajimave (FTL)?

[mikesznovu]

Metoda hosts souboru na nevyhodu, ze neumi*.neco.com , bez toho je to jako kopat vykop lopatou misto bagru. To umi prave az dns server.

Uprimne https proxy + certifikaty mi prijde moc pracne. Takze cjinak centralne to nepujde, musel by se do kazeho browseru dat ublock origin, ktery do hhtps vidi

Ja mam vyhodu ze rourer je je openwrt, tedy linux a ne nejaky priskrceny zabugovany rozhrani tplink

[SB]

Stejne kdo chce, tak si to nejak cestu najde.

Ano, stačí Tor browser.

BtW: proc kdy a jak se prejmenovalo pihole na adhole? Zrovna kdyz jsem mel pocit ze to zacina technologicky byt zajimave (FTL)?

Adhole je jen dobrovolníkem provozujícím zdarma pro blaho lidstva filtrující server DNS, s Pi-hole, pokud vím, nemá nic společného. Používá vlastní blokovací seznamy (anglicky afroamericanlists).

[FKoudelka]

V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on) -> tam kdyz nastavite 46.4.165.226 (nemecka ip pro adhole.org), tak by vas router a klienti ve vasi siti meli resolvit pres adhole.
To by melo makat i na tech nejhloupejsich zarizenich

DHCP na vasem routeru posila jako DNS ip samu sebe (ip na lan rozhrani toho routeru) a "vnitrne" ten pozadavek pak prehodi na ten adhole v nemecku.

Short & sweet !

[kvas]

V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on)

fakt sa to tam neda nastavit, preklikal som cele webadmin rozhranie:( jedine, co sa da nastavit je DDNS. je tam na vyber z 6 pevnych providerov (DtDNS, DynDNS, No-IP, easyDNS, freedns, TZO) a to je vsetko ohladom konfiguracie DNS.

[mikesznovu]

V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on)

fakt sa to tam neda nastavit, preklikal som cele webadmin rozhranie:( jedine, co sa da nastavit je DDNS. je tam na vyber z 6 pevnych providerov (DtDNS, DynDNS, No-IP, easyDNS, freedns, TZO) a to je vsetko ohladom konfiguracie DNS.

Ne, to jsou 2 různé věci i když se točí kolem pojmu DNS. Něco jako hodinky a holinky, oboje končí na inky.

[SB]

fakt sa to tam neda nastavit...

Ty Kurde, tak v dokumentaci https://www.telekom.sk/documents/10179/594525/U%C5%BE%C3%ADvatelsk%C3%BD+manu%C3%A1l+ZTE+II.pdf/97e87a6c-e6b2-44df-9adc-fcadf2ba0d3e to fakt není. To není s*áč, to je supers*áč.
V návodu se píše něco o bridge - když by se to podařilo zapnout, tak by se za to dal připojit nějaký rozumný router, jinak je to vhodné tak do popelnice.

[FKoudelka]

fakt sa to tam neda nastavit...

Ty Kurde, tak v dokumentaci https://www.telekom.sk/documents/10179/594525/U%C5%BE%C3%ADvatelsk%C3%BD+manu%C3%A1l+ZTE+II.pdf/97e87a6c-e6b2-44df-9adc-fcadf2ba0d3e to fakt není. To není s*áč, to je supers*áč.
V návodu se píše něco o bridge - když by se to podařilo zapnout, tak by se za to dal připojit nějaký rozumný router, jinak je to vhodné tak do popelnice.

Mám podobného s*áče-  Compal od UPC. Ale říkal jsem si , jestli by nestačilo jen vypnout DHCP a pichnout do site nejakou krabicku s DHCP, co umi options. Nechce se mi totiz vzdavat wifi z compalu tim ze ho prepnu do bridge.

[mikesznovu]

Možná by bylo dobré udělat nějaký průzkum, co za routery používají domácnosti. Že by to byl takový pohled do reality... 802.11n, invalida-funkcionalita, 100Mbps, stáří 8 let, aktualizace  2 roky po zakoupení nejpozději a, rom-0, bezpečnostní chyby, náhodné záseky...