- 2024’te web ve yazılım deneyimi reklamlar, izleme, analiz widget’ları, çerez banner’ları ve bitmek bilmeyen dış iletişimler yüzünden daha yorucu hâle geldi; Pi-hole bunu ağ seviyesinde azaltmanın bir yolu
- Pi-hole, ev veya ofis ağında bir DNS sinkhole olarak çalışarak izleyicileri, reklam CDN’lerini ve istenmeyen alan adı isteklerini tüm cihazlar genelinde engeller
- Gerçek kullanım ortamında toplam trafiğin %66,6’sının engellendiği ve günlük işlerde işlevsel bir etkisi olmadığı belirtiliyor
- Kurulum için Raspberry Pi ve microSD kart, ilk kurulum çevre birimleri, Pi-hole kurulumu ve yönlendiricinin DNS isteklerini Pi-hole’a göndermesini sağlayan ağ yapılandırması gerekiyor
- Pi-hole tek başına tüm reklamları engellemekte zorlanabileceğinden, YouTube gibi servisler için uBlock Origin gibi bir tarayıcı reklam engelleyiciyle birlikte kullanmak faydalı
Neden Pi-hole kullanmalı?
- Web’de gezinirken ve yazılım kullanırken istenmeyen veri toplama ve izleme önemli ölçüde arttı; kullanıcılar bilgisayarlarının, tarayıcılarının ve diğer sinyallerin rızaları olmadan profilleme için kullanılmasından kaçınmak istiyor
- 2024’te tipik çevrim içi deneyim; reklamlar, kötü amaçlı betikler, analiz widget’ları, chatbot widget’ları, sayfayı kaplayan çerez onay banner’ları ve her tıklamada dışarıyla iletişim kuran yazılımlarla dolu
- Reklam teknolojisi, ziyaretçileri aşırı ölçüde sömüren bir yöne evrildi; buna karşı bir çözüm olarak ev ağına Pi-hole koyma yaklaşımı öneriliyor
- Pi-hole zaten uzun süredir bilinen bir proje; Jeff Atwood, Troy Hunt, Scott Hanselman ve Scott Helme gibi isimler yıllardır bu aracı ele alıyor
Ağda nasıl çalışır?
- Pi-hole genellikle Raspberry Pi üzerinde çalıştırılır, ancak teknik olarak Pi dışında da çalıştırılabilir
- Ağ içinde bir DNS proxy/sinkhole gibi çalışır
- Kullanıcı
https://example.com adresine bağlandığında istek önce Pi-hole’dan geçer
- Ardından alan adı bilgisi için yetkili DNS sunucularına sorulan akış devam eder
- Amaç, ağda erişilmesini istemediğiniz alan adı isteklerini engellemektir
- İzleyiciler
- Reklam sunan CDN’ler
- Ev veya iş yeri içinde veri göndermek istemediğiniz alan adları
- Gerçek ağda toplam trafiğin %66,6’sı engellendi ve kullanıcının yaptığı işlerde işlevsel bir etkisi olmadı
Kurulum için gerekenler
- Pi-hole kurulumu büyük bir yatırım gerektirmez; en büyük maliyet ekipmandan çok kurulum ve doğrulama için harcanan zamandır
- Temel yapılandırma şöyle
- Raspberry Pi
- ABD bazında yaklaşık 155 dolar tutarında CanaKit başlangıç kiti
- Kurulum için gereken microSD kart da dahildir
- Raspberry Pi’nin ilk kurulumu için bağlanacak monitör, fare ve klavye
- Pi-hole temel kurulum kılavuzunu takip etmek için zaman
- Ağın DNS istekleri Pi-hole’dan geçecek şekilde yönlendiriciyi yapılandırmak için zaman
- Pi-hole ekibi kurulum sürecini mümkün olduğunca basit hâle getirmiş
Engellenecek alan adı listelerini yönetme
- Donanım ve yazılım kurulduktan sonra yönlendiricinin DNS isteği hedefi Pi-hole cihazını gösterecek şekilde yapılandırılmalı
- Sonraki adım, hangi alan adlarının engelleneceğine karar vermek
- Ağdan geçen istekleri doğrudan görüp karar verebilirsiniz
- Topluluk engelleme listelerini kullanabilirsiniz
- Firebog başlangıç noktası olarak önerilen bir kaynak; topluluğun araştırıp derlediği çok sayıda alan adı listesi sunar
- Tüm listeleri koşulsuz uygulamak gerekmez
- Bazı işlevler bozulabilir veya çalışmayabilir
- Pi-hole’un gerçek zamanlı sorgu günlüğünden hangi istemcinin hangi alan adına erişmeye çalıştığı görülebilir
- Gerektiğinde alan adları dinamik olarak engellenebilir veya izin verilebilir
- Düzenli ifadelerle belirli koşullara uyan alan adları engellenebilir
- Rusya, Çin ve Hong Kong kaynaklı çok sayıda kötü amaçlı trafik görüldüğü gerekçesiyle
.cn, .ru, .hk TLD’lerini engelleme örneği var
(^|\.)(cn|ru|hk)$
- Bu kural uygulandığında, DNS isteği Pi-hole’dan geçtiği sürece söz konusu TLD sunucularına giden iletişim ağ dışına çıkmaz
- Ülke TLD’leri kötü amaçlı yazılımların tek saldırı vektörü olmasa da, bunları engellemek tüm ağın güvenlik duruşunu iyileştiren küçük bir adım olarak ele alınıyor
DNS atlatmayı engelleme
- Bazı cihazlar reklam göstermek veya analiz verisi toplamak için kullanıcının ayarladığı DNS’i atlatmaya çalışabilir
- Buna karşı yöntem, kullanılan yönlendirici donanımına göre değişir
- UniFi ekosistemi ve UDM Pro kullanılan bir ortamda, UDM’ye SSH ile bağlanıp
iptables kuralları çalıştırma örneği var
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p tcp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p udp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP
# Make sure that we skip 192.168.1.1 since that seems to break UniFi Protect
iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.1.2-192.168.254.254 -j MASQUERADE
- Bu betik tüm DNS trafiği olan 53 numaralı portu Pi-hole’a yönlendirir ve NAT kurallarıyla ağ adresi maskelemesi uygular
- İlk komut, TCP DNS paketlerini Pi-hole IP’sine destination NAT işleminden geçirir
-t nat: NAT tablosu kuralını belirtir
-A PREROUTING: yönlendirmeden önce gelen paketleri işleyen zincire kural ekler
! -s YOUR_PI_HOLE_IP: Pi-hole’un kendisinden başlayan paketleri hariç tutar
-p tcp: TCP paketlerine uygular
--dport 53: DNS 53 numaralı portunu hedefleyen paketleri eşleştirir
-j DNAT: hedef IP adresini değiştiren DNAT hedefine gider
--to YOUR_PI_HOLE_IP: paketi Pi-hole IP’sine yönlendirir
- İkinci komut aynı işlemi UDP paketlerine uygular
- Üçüncü komut, belirtilen dahili IP aralığındaki kaynak IP’leri yönlendirici IP’siyle değiştiren
MASQUERADE kuralıdır
- Örnek aralık
192.168.1.2 ile 192.168.254.254 arasıdır ve kendi ağınıza göre ayarlanabilir
192.168.1.1, UniFi Protect’in bozulmasını önlemek için hariç tutulmuştur
- Sonuç olarak, Pi-hole’un kendisinden çıkan istekler hariç ağ cihazlarının tüm TCP ve UDP DNS istekleri Pi-hole’a yönlendirilir
Tarayıcı reklam engelleyiciyle birlikte kullanma
- Pi-hole ağ cihazları ile internet arasında bulunsa da uBlock Origin gibi güvenilir reklam engelleyiciler hâlâ değerlidir
- YouTube gibi, servisi kullanmaya devam ederken reklamsız kullanmak istediğiniz durumlarda yalnızca alan adı düzeyinde engelleme sorunu çözmekte zorlanır
- Pi-hole, tarayıcı reklam engelleyicilere ek olarak istenmeyen içerik ve istekleri engelleyen ek bir katman olarak kullanılır
- Tarayıcı reklam engelleyiciler, ana web sitesi alan adından yüklenen manuel reklamlar veya sponsorlu içerikler gibi belirli UI öğelerini de engelleyebilir
Kullanım sonrası değerlendirme
- Pi-hole’u ağa kurduktan sonra geri dönmek zor olacak kadar etkisi büyük oldu
- Ebeveynlerin ve eşin ebeveynlerinin ağlarına da aynı kurulum uygulandı
- Çevrim içi yaşam kalitesinde büyük fark yarattığı için önermeye devam edeceğini belirtiyor
5 yorum
Mutlaka Pi-hole kullanmasanız bile, çoğu durumda reklam engellemeyi zaten yapan bir DNS kullanmak da gayet iyi bir seçenektir.
http://youtube.com/watch?v=OvfnqFXRybk AdGuard'ı kurup bu şekilde kullanma yöntemi de hoşuma gitti.
Adguard Home, PiHole ve NextDNS'in üçünü de kullandım; bana göre en iyisi Adguard Home. Paralel istekleri açıp cache'i yeterince geniş verirseniz DNS istekleri 10 ms'nin altında işleniyor.
Reklam engelleme açısından gayet iyi bir hizmet. Ancak metinde de geçtiği gibi, reklamları engellediğinizde fark ettirmeden çalışmayan epey hizmet oluyor; böyle durumlarda reklamları kapatmak gerekiyor falan... Sadece ben kullansam sorun etmem ama eşim kullanırken bir şeyler çalışmayınca sinirlenirse o da ayrı bir dert olduğu için bunu sadece kişisel bilgisayarımda kullanıyorum. Hüngür hüngür
Oo.. teşekkürler..