Pi-hole v6が登場!ネット環境が劇的に改善される理由とは?
引用元:https://news.ycombinator.com/item?id=43093328
最近Pi-holeを始めたんだけど、基本的な機能がないのに驚いたよ。リクエストが実際にはブロックされず、ログにはブロックされるはずのものが表示される“ドライラン”みたいな機能がないのが重要なんだ。導入する前にネットワークの動きを見て修正したいんだよね。別のクライアントごとに異なる設定ができないのも困る。スマートテレビ用の厳しいリストと、スマホのリストを分けたいんだけど、ユーザーエラーかもしれないけどUIは分かりづらい。
>“別のクライアントごとに異なる設定ができないのも困る”そういうメニューがあるよ、Clientsって。グループを作ってその中にクライアントを追加してブロックを設定すればいい。特定のクライアント用のグループを作ればうまくいくよ。
ちょっと複雑なんだよね。君の提案は、(1) Pi-holeをDHCPサーバーにしているか、(2) すべてのデバイスがPi-holeのIPを使うように設定されてる場合にうまくいく。大体はルーターのDNS設定をPi-holeにしてて、そうなるとダッシュボードにはルーターだけが表示されるんだ。
>ダッシュボードにはルーターだけが表示されるんだそれはルーターの性能に依るよ。多くのルーターはDHCPでクライアントに出すDNS情報の設定があって、そうすれば全てのクライアントが直接Pi-holeを使うことになる。設定の少ないルーターは上流のDNSサーバーの設定しかできないからPi-holeのグループ機能を使うのは無理だ。でも、ルーターのDHCPをオフにしてPi-holeを使えば簡単だよ。これが僕のネットワークの使い方なんだけど、特に問題はなかった。
ゲートウェイの設定次第で、ポート53のリクエストを禁止したり、別のマシンにリダイレクトすることもできるよ。
それはちょっとごちゃごちゃしてると思う。DNSはHTTPのようにリダイレクトできないから、君が言ってるのはポートフォワーディングを使って実装するしかないけど、DNSをトンネルさせるルーターは見たことがない。ポートフォワーディングでは、Pi-holeのグループ機能を使うには適さないと思うな。
>DNSはHTTPのようにリダイレクトできないdnsmasqは最近すごく進化して、ドメインのリダイレクトができるようになったよ。今またmanページを読む時間だね。
それだと、デバイスがDHCPのDNSリクエストを無視する場合の解決にはならないよ。
>デバイスがDHCPのDNSリクエストを無視する場合の解決にはならないそれはこのスレッドで初めて出た話だね。でも君の言いたいことは分かった。iptablesを使って外部のトラフィックをローカルIPに転送することが可能だけど、単純にポート53のトラフィックを送るだけじゃなく、Pi-holeを除外するようにしないといけない。別のデバイスのためだけの特定のルールにする必要があるよ。
DHCPデバイスがDNSの挙動を制御する方法の話だよ。その多くはゲートウェイデバイスにもなっていて、内部のファイアウォールもあるからね。IoTや他のデバイスがネットワーク上で変な動きをすることも多い。IPをポート禁止やポートフォワードするのも簡単だったりして、Pi-holeの挙動には影響しないよ。DoHはまた別の話だ。ブラウザベースのDNSシステムのことだね。
Unifiルーターを使ってるけど、Pi-holeにはルーターがDNSリクエストを出してるばかりでなんか残念。
Pi-HoleをDHCPサーバーにしてないけど、ルーターのDHCPでクライアントにPi-holeをDNSとして使わせてるよ。
クライアントとグループの設定で、お子さんのデバイスからYouTubeをブロックして他のは許可してる。Pi-holeはコンテナ内で動かしてるよ。
YouTubeをブロックするためのブロックリスト、教えてくれたら嬉しいな。結構難しいから。
だと思うけど、YouTubeの広告じゃなくて子どものためにYouTubeそのものをブロックしてるんじゃないかな。Pi-holeは広告をブロックできないから。
私のコメントが分かりづらかったね。YouTubeを完全にブロックすることについて言ってたんだ。
Pi-holeの’Domains’ページに行って、‘Domain’ボックスにyoutube.comを入力して、‘Add domain as wildcard’のチェックを入れて追加すれば、全クライアントのYouTubeをブロックできるよ。
スマートTVなんて絶対買わない。広告が入るなんて最悪で、Kindleの広告みたいで腹立つ。UBOがChromeで使えなくなったらどうしよう。
非スマート4Kディスプレイの方が高いのは謎だよね。私はHDMIとDisplayPortあれば十分だから、余計な機能はいらない。
>本当に変だよね、余計なものがないのに。
ユーザーデータを売って利益を得てるから、そりゃそうだよね。
マジでそうなの?利益率がめっちゃ大きいのか。4Kスマートテレビが4Kモニターの半額で売ってるの見たことあるけど。 この世界に少しだけ関わったことがあるけど、Rokuみたいなストリーミングボックスやテレビがあの値段で売れるのは、データを売らないと成り立たないから。競争するには適正価格で売るしかないけど、安価な製品と棚のスペース争いになると厳しいよね。MBAが経営すると、データ販売に切り替えられるし。 それなら、機能に見合った価格のApple TVを買えばいい。ネットワークや家の情報を盗られないし。 テレビにDDWRT/OpenWRTみたいなものってないの?多くが組み込みLinuxボードでAndroidのフォークが動いてるから、安くていいハードウェアに入れ替え可能なファームウェアがあるテレビもあるべきだよね。HDMI入力を常時映すだけのでも良いし、AOSP+VLC/Jellyfinがあれば最高。 >Is there an equivalent of DDWRT/OpenWRT but for TVs? >Get a used mini-pc, install Linux on it MSI Tridentをゲーム・HTPCとして使ってるけど、家族も満足してる。みんなは様々なストリーミングサービスやSteam、Kodiを使って楽しんでるよ。 HDMI入力を常時表示するテレビって大きなモニターじゃない?でも不思議なことに、テレビの方がいつも高い気がする。 テレビOSをハックできたら楽しいだろうね。CrowdSupplyプロジェクトとして面白いかも。でも、ユーザー情報や広告で稼ぐ方が得られそうだから、難しいかも。 >For my ‘smart tv’ which I begrudgingly have to allow on my network occasionally for software updates ソフトウェアのアップデートでメディアコーデックのサポートとかUIの改善、Bluetoothの互換性向上が期待できるかな。 そうそう、いわゆるスマート機能だよね。Raspberry Piを繋いでからは初期設定以外触ってないわ。5年以上使ってるRaspberry Pi 2は今のスマートTVより優れてる。 >”Raspberry Pi 2” 確かに100MbpsのEthernetはそうだけど、うちのTVも同じだし。HEVCメディアは持ってないからわからないけど、4K出力がないのは大きな欠点だな。それに、Pi2でストリーミングサービスがサポートされてるかも謎だし、今の時代でブラウザからYouTubeが見れるのかすら疑問。 DNSブラックホールでTVの悪さを制限するのって正しい方法かな?そのデバイスがDNSルックアップ使わずに接続している可能性もあるし、ルーターにガードレールを追加する方が良さそう。 確かにスタートとしてはいいけど、追跡を厳重に行うTVはこういうブロックを簡単にかいくぐりそう。ほとんどのTVはそれほど高度ではないと思う。普通の人がスマート機能を楽しむには、これは良い妥協だね。ただ、ルーターでガードレールをどうやって追加するつもりなの?TVのインターネットアクセスを完全にブロックする以外に現実的な方法が思いつかない。 スマートTVのオプトアウトテレメトリは悪意がある。 それにAdGuard Homeもあるよ。https://adguard.com/en/adguard-home/overview.html 正直これ([1])はあまり関係ないと思う。DNSをブロックすることに破壊的な意味はないし、何年もPi-holeを使ってて、普通はブロックしてから例外を少し加えるだけ。数回しかトラブルシュートしたことないよ。 リモートデバイスにアクセスできなくなるなら、破壊的な行為だよ。ジェフ・ギーリングの”It was DNS T-Shirt”でも見てみ。https://www.redshirtjeff.com/shop/p/it-was-dns-shirt AdGuard Home使ってたけど、機能はほぼ同じで、DoHとかLinux以外のOSもサポートしてて少し洗練されてたよ。 > https://github.com/AdguardTeam/AdGuardHome PiHoleからAdGuardに移って、最終的にはNextDNSにしたよ。いじったり管理するのが面倒になってさ。 NextDNS使ってたけど、Pi-holeは手間がかからないからサードパーティーにお金払う意味がないよ。5年前にrPi 3のArch LinuxにPi-holeをセットアップして以来、ずっと問題ないし。 ローカルでDNSサーバーを運用する大きな利点はキャッシュだよ。外部プロバイダーを使うと毎回ネットに出ないといけないから。 うーん、うちのルーターがDNSクエリをキャッシュしてるけど。 NextDNSをルーター上で動かすこともできるよ。 俺も同じだけどAdGuardはスキップして。PiでDNSを生かすのは楽しいと思ったけど、停電でストレスが溜まった。自分だけが解決できるポイント故障を増やすのはいやだし。 Pi-holeが3年以上稼働してて、壊れたことが一度もないから、「DNSがダウンする」って本当に問題なのかな?ちょっと偏見かも。 北米の都市に住んでて、高圧線が地上にあるから5年間で結構な数の停電を経験した。PiはSDカードで動かしてるから、停電に弱いことがわかって使うのをやめたよ。 Raspberry PiとPi-holeを同じSDカードで7年使ってるんだけど、定期的に電源切るだけで再起動してる。解決策は簡単で、Linuxのログファイルを/dev/nullに送るかRAMに送って、Pi-holeのクエリーロギングを無効にするだけ。それでかなり助かってるぞ! 古いノートパソコンで運用してるけど、トラブルなし。メモリとCPUが余裕あるし、実際のハードディスクがあるから、停電後も99%の稼働率を維持できた。ノートパソコンはクラッシュ時も自動で再起動するし。 バンクーバーBCに住んでて、2年に1回は停電があるんだ。電源を接続しているデバイスに電力品質の問題もあるみたいで、UPSがあると助かるだろうな。 停電について心配する理由は何?俺のPi-holeはルーターよりもずっと早くオンラインに戻るけど。 停電時のDNSの問題はあまり心配しなくていいと思う。どうせインターネットとPCもダウンしてることが多いし。 主要と副のDNS用に2台のRaspberry Piを用意するのは良い考えだね、メインが壊れたときのために。 Raspberry PiのKubernetesクラスターでPi-holeを運用するのはどう?UPSも設定して冗長な電源供給を忘れずに。もしRaspberry Piが壊れたら、ルーターのインターフェースを開いてISPのDNSにリセットするのは簡単だよ。賢くやれよ。 妻にこの簡単さを教えてみな。フランスで出張中にOpenDNSがブロックされた日を今でも覚えてるよ、Pi-holeに設定してたのを忘れてたから。 Pi-holeはPiじゃなくてもいいんだ。ProxmoxサーバーのUbuntu Linuxコンテナで運用してるよ。 俺はルーターと同じデバイスでAdGuard Homeを使ってて、何かがダウンすればルーター全体がダウンするから同じさ。 NextDNS、いいよね。設定も管理も簡単で、すごく使いやすい。 DoHはpiholeでcloudflaredを使えばできるよ。詳しくは”https://docs.pi-hole.net/guides/dns/cloudflared/”を見てね。 AdGuard Home好きだけど、ロシアの会社の単一バイナリはちょっと不安。自分でビルドする方向に進むかも。これは偏見かな? >これは偏見かな? >他国の人を国で判断するのは良くない。 へえ、そんなこと知らなかった!ありがとう! 前は自分でビルドしてたけど、今はAlpine Linuxのテストブランチにパッケージされるようになったんだ。それでコンテナイメージも”apk add”で簡単に入れられる。信頼できるかは自分次第だね。 >これは偏見かな? 自分はイラン、北朝鮮、中国も信用してない。簡単だよ、アメリカだし2025年だから。これらは現在の敵で、これは選んだことじゃない。2035年には仲良くなれるといいな。 >信頼できない? 自分はクライアントのファイアウォールでイラン、北朝鮮、中国、ロシアからのトラフィックを全部ブロックしてる。毎分アメリカのビジネスを狙ってるIPがログに現れるのを見たからさ。犯罪者のIPを特定しようとしても、すぐに別のIPに移動するから、ブロックリストが増え続けるだけ。国全体をブロックするのは合理的だし、自分の基準として、全球をブロックして特定の国だけを許可するってやり方を取ってる。なにかブロックされても調整は簡単だからね。ロシアに良い人がいるのはわかるけど、ロシアのコンピューターと自分のビジネスが繋がる必要はないんだ。 特定の国を選ぶ理由は何なの?オランダからの接続は安全だと単に思っているの? 統計的にはさ、オランダからの人が国家レベルのハッカーである確率は、ロシアのIPよりずっと低いわけ。 論理的に考えれば、ロシアが組織に infiltrate しようと思ったら、ロシアのIPから直接やるわけじゃなくて、オランダやドイツのプロキシを使うんじゃないかな。 でも経験から言うと、GPの言ってることは正しい。多くの悪意のあるトラフィックがその国家から来てるのを見てきた。 米国から来たバイナリが悪意のあるコードを含んでいても、起源が違うから許されるってこと? 自宅のルーターで Adguard Home を動かしてるよ、オプンセンスでね。 オプンセンスに対応したルーターってどれがあるの?それともフルサーバーやコンテナが必要なの?ピーホールを数年間使ってて、このスレッドは自分にとって新しい情報がたくさんだよ。 オプンセンスはオープンWRTみたいに、比較的パワフルなジェネリックなx86ハードウェア用に設計されてる。Intel CPUとネットワークハードウェアがBSDのドライバサポートの関係で一番安定してるけど、他のも使える。ただ、低消費電力の古いCPUであっても、ギガビット以上のルーティングは楽勝だから、特にファイアウォールルールやサービスをたくさん使う場合はね。オプンセンスの親会社PfsenseもARMをサポートしてるけど、そのバージョンは商業サポートしたハードウェアだけなんだ。 ありがとう!古いサーバーをルーターとコンテナホストに変えようとずっと考えてたんだ。 Pi-holeってほんといいツールだよね。自分はRaspberry Pi Zeroで数年使ってるけど、ブロックされるゴミの量にはいつも驚かされるよ。リリースおめでとう!Patreonでのサポートも嬉しいよ!もっとコメントを表示(1)
安いミニPCを買ってLinuxをインストールすればいいよ。テレビをネットに繋がないようにすればOK。50-75ドルで解決できる。予算を気にせず、HDRみたいな機能に興味がなければこれが良い。libreElecみたいなテレビ専用のLinuxもいくつかある。もっとパワフルなAMD GPUを搭載したシステムを手に入れれば、Bazziteをインストールしてテレビ用SteamOSみたいにしたいな。コントローラーとも合うし。
その方法を試したことがあるけど、楽しみたくない人にはおすすめしない。Apple TVやNvidia Shieldの方が断然マシだと思う。でも本格的なゲームメディアセンターが欲しいなら別。それに、ミニPC/RPiでは毎回問題が起きて、家族みんなで映画を観る時にトラブルシューティングをするのは嫌だった。
スマート機能を使ってないなら、何でソフトウェア更新するの?私のスマートテレビは何年もネットから隔離してる。
あれってネット速度が100MB/sに制限されててHEVCファイルのストリーミングもできないやつじゃなかったっけ?もっとコメントを表示(2)
もっとコメントを表示(3)
そんなことないよ。他国の人を国で判断するのは良くないけど、AdGuardの姿勢ははっきりしてるから、気になるなら確認すればいいよ。詳細は”https://www.reddit.com/r/Adguard/comments/t15gr4/announcemen…”と”https://adguard.com/en/blog/official-response-to-setapp.html”で。
これは前のコメントの理解が全然間違ってるよ。AdGuardのバイナリの出所を気にしてるだけで、国民を否定してるわけじゃないから。政府の信頼性を確認してるだけだよ。国によって政府の管理が異なるし、それがリスク評価に影響するのは当然。
ロシア人だけを信じるか、他も信用するかでしょ。
話してるのはその国の少数派で、全 populationではないことを理解してほしい。中国の人全員がアメリカをハッキングしようとしてるわけじゃない。そんなイメージはプロパガンダに過ぎない。コードを勉強して、しっかりとした見解を作るのが大切だよ。
