unbound Adblocker funktioniert nicht

[steffda]

Hallo Zusammen,
ich habe unbound nach dieser Anleitung  http://www.raspberry-pi-geek.de/Magazin/2017/06/Unbound-als-zentraler-DNS-Server-und-Adblocker eingerichtet und die Liste mit den Adservern an die entsprechende Stelle kopiert.
Die Liste wird bei einem Restart von unbound auch geladen (sehe ich, wenn ich einen Fehler einbaue in der log-Datei), DNS-Einträge für VPN sind ok, DNS-Eintrag fürs Ethernet ist leer, ich sehe die DNS-Anforderungen in den Livelogs der Firewall und wenn ich das VPN trenne werden keine Webseiten erreicht. Das zeigt mir, dass alle DNS-Anfragen übers VPN geroutet werden.

Wenn ich jetzt z.B. die Seite bild.de aufrufe, finde ich dort Werbeanzeigen von smartadserver.com, obwohl dieser Server in der Liste der Adserver steht.

Hat jemand eine Idee, woran das liegen kann?

[monstermania]

Moin,
es gibt schon ein fertiges Plugin für die OPNsense und DNS Blockling.
https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/

Gruß
Dirk

[mimugmail]

Der dnscrypt-proxy kann es mit der nächsten Version auch ...

[jacolani]

DNS Blocking ineressiert mich auch. Hilft das auch gegen DNS Spoofing, in dem Sinne das die IP geblockt wird und nicht der Name? Oder stehen in den Listen nur die Namen?

Gibt es da Vorteile bzw. Nachteile wenn ich auch in der Firewall schon eine Blockliste habe, und IPS ist auch aktiv.

[mimugmail]

IP über Firewall, Domain über DNS

[jacolani]

IP über Firewall, Domain über DNS

Ja aber ich rufe doch alles über die IP auf, d.h. alles geht über die IP durch die Firewall.
Oder erhalte ich andere IPs über DNS die nicht in den Blacklisten sind, die ich schon über die Firewall blocke, dann verstehe ich das. Aber anonsten mache ich doch eine Anfrage z.b. domainxy.xy an den DNS Server, der liefert mir die IP, und dann erst erfolgt der Aufruf, der dann durch die Firewall geblockt wird, oder auch nicht.
Oder habe ich da was nicht verstanden?

[mimugmail]

Korrekt, aber eher unüblich.

[jacolani]

Korrekt, aber eher unüblich.

Leider kann ich aus der Antwort nicht genau verstehen, was du mit eher unüblich meinst :)

[mimugmail]

Wenn du eine Liste von 50000 Domains in die Firewall lädst, muss diese erst mal diese 50000 Namen auf IPs auflösen .. und auch noch immer aktualisieren. Das macht von der Performance her keinen Sinn, also Domains über DNSBL, IPs über Firewall :)

[jacolani]

Ach so meinst du das, ok. Auf der Beschreibung auf  sehe ich jetzt keine Quelle für die Listen, sondern nur Types. Habe es jetzt nur auf dem Bild gesehen.

Now go to tab ,,DNSBL" and set the lists you like. After hitting ,,Save" it could take some time for downloading.

Welche Listen kann man da kostenlos nutzen, und wo tragt man die Quellen ein?

[mimugmail]

Bei Bind? Das ist ne vordefinierte Liste zum Auswählen, alles frei

[jacolani]

danke habe es eingestellt und getestet.

[opnboi]

Der dnscrypt-proxy kann es mit der nächsten Version auch ...

Um DNSBL via DNS over TLS zu nutzen ist jetzt nur noch das DNSCrypt-Proxy Plugin notwendig oder auch noch BIND? Und wie verhält es sich mit dem normalen Web-Proxy Plugin - dies ist ja praktisch unbetroffen davon korrekt?

Alles noch etwas verwirrend bei sovielen BIND und Proxysachen :D

[mimugmail]

Bind kann weg wenn du dnscrypt Proxy nimmst :)
Wenn die Firewall selbst dnscrypt Proxy als dns verwendet geht das auch mit dem Web Proxy

[opnboi]

Danke für die schnelle Antwort :)

Na dann schau ich mal, wie ich die Firewall so hinbiege, dass sie DNSCrypt als Proxy verwendet;)