W malinowym chruśniaku

Tytuł dzisiejszego wpisu jest jaki jest na prośbę Blogrysa.

Mniej więcej rok temu pisałem o Raspberry Pi. Miałem wtedy w planach postawienie na Malince lokalny serwer PiHole, ale dość szybko poległem, bo okazało się, że blokuje aż za dobrze: Google Play przestało aktualizować aplikacje, Spotify i Netflix zaczęły wariować i parę innych rzeczy się popsuło (teraz już nawet nie pamiętam jakich). Odłożyłem więc Malinę do szuflady i tak sobie leżała przez dobry rok.

Przy okazji niedawnego porządkowania elektronicznego śmiecia natrafiłem na Malinkę i pomyślałem sobie, raz kozie śmierć, spróbujemy z PiHole raz jeszcze. Tym razem zawziąłem się, pogmerałem tu i tam (społeczność Reddit okazuje się bardzo pomocna!) i odkryłem zestaw całkiem przydatnych białych list, które odblokowują znakomitą większość popularnych serwisów on-line, w tym Spotify, Netflix, Google Play i pierdylion innych.

Mając działające PiHole zmieniłem sobie ręcznie DNS na służbowym kompie, a także na prywatnym telefonie, potestowałem przez dwa dni czy wszystko działa (działało!) i już miałem wrzucić DNS w ustawienia domowego rutera, kiedy mnie coś tknęło: przecież ja już mam jedno urządzenie, które jest on-line 24/7/365, po cholerę mi drugie?

Urządzeniem tym jest mój wysłużony NAS od Synology, który wśród rozlicznych opcji ma możliwość zainstalowania Dockera. Kiedyś bym się bał, ale ponieważ od czasu ostatniej zmiany pracy mam z Dockerem do czynienia całkiem sporo, już się nie boję. Zainstalowałem więc, potem ściągnąłem i wstępnie skonfigurowałem PiHole, odpaliłem - działa. Użycie CPU na poziomie 3%, RAM - około 60%. NAS ma ma pokładzie gigabajt RAM-u oraz jakiś wolny, dwurdzeniowy procesor Intel Atom więc szału nie ma, ale PiHole w domowej sieci nie jest zbyt wymagający.

Najtrudniejszym (jak mi się wydawało) zadaniem było przeniesienie szczegółowej konfiguracji ze "starego" PiHole (raspberry) na "nowy" (synology). Okazuje się jednak, że jest to kaszka z mleczkiem, pod warunkiem rzecz jasna, że mamy do obydwu dostęp po ssh oraz znamy składnię polecenia scp. Wystarczy skopiować dwa pliki: gravity.db oraz pihole-FTL.db i po zawodach. Pierwszy zawiera black- i white-listy, drugi statystyki. Oczywiście trzeba na czas kopiowania wyłączyć docelowe PiHole, inaczej nie damy rady nadpisać tych plików - ale to wszystko. Żadnych skomplikowanych zaklęć.

Tak więc mam teraz PiHole działające jako kontener Dockera na domowym NAS-ie, a Malinka znów się kurzy. Jeszcze nie wiem do czego by ją teraz wykorzystać...

4 komentarze

  1. Tutaj pojawia się pytanie jak rozumiem co to za lista i co jest blokowane/dopuszczane. Bo może wąskie gardło w sieci jest zbyt duże względem potencjalnego zysku.

    1. Jak na razie nie widzę żadnych opóźnień. Malina raportuje około 20% ruchu zablokowanego, pozostałe 80% przepuszczonego. Na liście zablokowanych domen mam około 200000 pozycji. Biała lista za to ma około 120 pozycji jeżeli dobrze pamiętam. Ponieważ blokowanie wg domeny ma swoje wady (jest czasem zbyt ogólne), a PiHole inaczej nie umie, i tak trzeba się uzbroić w ublock origin, ale ma on teraz odrobinę mniej pracy niż zwykle.

      1. Nie ruchu a zapytań DNS. To spora różnica, DNS jest lekki. I małe zapytania, i lata po UDP, więc narzut pomijalny. Zatem wąskie gardło w sieci nie wchodzi w grę.

        Podobnie z serwerami DNS. Te cache’ujące to maleństwa, na PiHole zapewne jest unbound ewenturalnie dnsmasq. Oba leciutkie. Po sprawdzeniu – jest ten drugi, modyfikowany zresztą. Lekko zdziwiony jestem.

        No i właśnie – lokalny cache DNS w sieci domowej raczej przyspieszy działanie sieci. Choć pewnie i tak router już to robi…

        Coś więcej o gmeraniu i białych listach napiszesz? Może i ja w końcu PiHole odpalę? Choć do blokowania mam raczej rozszerzenia w przeglądarce.

        1. Może napiszę, przy jakiejś okazji. Rozszerzenia w przeglądarce też mam. Nota bene podoba mi się porównanie, jakie kiedyś znalazłem w Sieci: PiHole to wykidajło przy wejściu do dyskoteki, a uBlock / AdBlock – ochroniarze pilnujący porządku w środku. Jak się wykidajło opierdziela, to wewnętrzna ochrona ma więcej roboty. I w drugą stronę: jak wykidajło jest przewrażliwiony i przegania za dużo chętnych, dyskoteka padnie z braku klientów 😉

Leave a Comment

Twój adres e-mail nie zostanie opublikowany.