Que pensez-vous de Pi-Hole ?
Que pensez-vous de Pi-Hole ?
Pi-Hole est un bloqueur de publicité au niveau du réseau (également VPN), prévu pour Raspberry Pi et Linux: le site officiel.
Aurore NL4B; Quad-Core 1.1 GHz, RAM 8 Go, SSD 240 Go, CG Intel 1920 x 1080, 15.6", Debian 11.
Re: Que pensez-vous de Pi-Hole ?
Bonjour,
Je connais très bien, je l'utilise au quotidien à la maison en supervision du réseau local. Pas de Raspberry PI chez moi, il tourne dans machine virtuelle (VM) sur mon serveur maison.
Petite précision, il ne s'agit pas d'un VPN, mais d'un résolveur DNS que l'on peut utiliser pour faire du « DNS Menteur ». (DNS Sinkhole). Concrètement, cela signifie que les appareils du réseau ne vont pas utiliser le résolveur DNS du fournisseur d'accès, mais un équipement local sur le réseau pour résoudre les noms de domaine. En l'espèce, le Pi-Hole auquel on pourra dire de ne pas résoudre certains domaines associés à la publicité/tracking. Du coup lorsque l'appareil demandera à joindre un domaine de publicité comme "google-analytics.com" Pi-Hole répondra que le domaine n'existe pas.
Pi-Hole s'appuie en grande partie sur un autre logiciel libre très réputé pour gérer tout ce qui est DNS/DHCP : dnsmasq.
Avantages
Bien configuré ça bloque le tracking sur tous les appareils connectés à un même réseau local, pas besoin de faire des manipulations appareil par appareil, d'installer des application ou des extensions. Ça permet de bloquer le tracking y compris sur des équipements où ces manipulations ne sont pas possibles (TV connectés, imprimantes, objets connectés en tout genre) ;
Inconvénients
- Ce n'est pas forcément à la portée de tout le monde, il faut savoir configurer proprement le DHCP pour que les appareils utilisent Pi-Hole en résolveur DNS (Pi-Hole a une option pour faciliter ça, mais il faut paramétrer sa box correctement pour pas tout casser) ;
- Par défaut, Pi-Hole n'est qu'un sinkhole, il ne fait pas de cache DNS et n'est pas un serveur faisant autorité, il intercepte les requêtes DNS des appareils connectés au réseau local, mais pour une vraie résolution, il doit les transmettre à un serveur DNS qui connaît le répertoire racine de l'AFNIC (DNS forwarding). Ce serveur DNS sera celui du FAI, ceux de Google (8.8.8.8) ou encore ceux de Cloudflare (1.1.1.1) etc. Pour une vraie installation "vie privée" il faut donc monter en complément de Pi-Hole son propre serveur DNS racine et les faire communiquer ensemble (les logiciels libres unbound et bind sont idéaux pour ça, c'est ce que j'ai fait à la maison) ;
- Pi-Hole permet de voir tout ce qui passe au niveau DNS sur le réseau local, on voit donc tous les domaines interrogés par les différents équipements du réseau. C'est pas très cool pour l'intimité des occupants de la maison (il existe un paramètre pour rendre cela anonyme). Chez moi, je préviens mes invités quand ils veulent utiliser mon WiFi
;
- Pi-Hole écrit beaucoup de logs, sur un Raspberry Pi il faut impérativement réduire le cycle d'écriture voire les désactiver, au risque de tuer la carte SD en seulement qq jours.
- Pi-Hole a une limite évidente, certains objets connectés sont conçus pour utiliser un serveur DNS codé en dur. C'est le cas des Chromecast de Google par exemple, qui utilise 8.8.8.8 pour leur traffic DNS (on peut tricher pour repasser par Pi-Hole, mais ça peut causer des soucis à d'autres équipements). De la même façon, si l'appareil est conçu en dur pour faire du DNS sur HTTPS (DoH) ou sur TLS (DoT) c'est mort, Pi-Hole ne pourra rien filtrer, sauf à bloquer tout l'accès Internet du dit appareil.
- Enfin, dernier inconvénient, quand un blocage pose problème, c'est un peu lourd de rentrer dans l'interface d'administration pour faire les modifications. Typiquement, lorsqu'une personne de la maison veut pouvoir utiliser tel site ou telle appli qui nécessite de contacter ce serveur de pub pour fonctionner. Ça se fait, mais c'est pas simple, (beaucoup moins que de désactiver localement sur l'appareil le bloqueur de pub).
Sinon dans l'ensemble ça fonctionne très bien et c'est très satisfaisant au quotidien
Je connais très bien, je l'utilise au quotidien à la maison en supervision du réseau local. Pas de Raspberry PI chez moi, il tourne dans machine virtuelle (VM) sur mon serveur maison.
Petite précision, il ne s'agit pas d'un VPN, mais d'un résolveur DNS que l'on peut utiliser pour faire du « DNS Menteur ». (DNS Sinkhole). Concrètement, cela signifie que les appareils du réseau ne vont pas utiliser le résolveur DNS du fournisseur d'accès, mais un équipement local sur le réseau pour résoudre les noms de domaine. En l'espèce, le Pi-Hole auquel on pourra dire de ne pas résoudre certains domaines associés à la publicité/tracking. Du coup lorsque l'appareil demandera à joindre un domaine de publicité comme "google-analytics.com" Pi-Hole répondra que le domaine n'existe pas.
Pi-Hole s'appuie en grande partie sur un autre logiciel libre très réputé pour gérer tout ce qui est DNS/DHCP : dnsmasq.
Avantages
Bien configuré ça bloque le tracking sur tous les appareils connectés à un même réseau local, pas besoin de faire des manipulations appareil par appareil, d'installer des application ou des extensions. Ça permet de bloquer le tracking y compris sur des équipements où ces manipulations ne sont pas possibles (TV connectés, imprimantes, objets connectés en tout genre) ;
Inconvénients
- Ce n'est pas forcément à la portée de tout le monde, il faut savoir configurer proprement le DHCP pour que les appareils utilisent Pi-Hole en résolveur DNS (Pi-Hole a une option pour faciliter ça, mais il faut paramétrer sa box correctement pour pas tout casser) ;
- Par défaut, Pi-Hole n'est qu'un sinkhole, il ne fait pas de cache DNS et n'est pas un serveur faisant autorité, il intercepte les requêtes DNS des appareils connectés au réseau local, mais pour une vraie résolution, il doit les transmettre à un serveur DNS qui connaît le répertoire racine de l'AFNIC (DNS forwarding). Ce serveur DNS sera celui du FAI, ceux de Google (8.8.8.8) ou encore ceux de Cloudflare (1.1.1.1) etc. Pour une vraie installation "vie privée" il faut donc monter en complément de Pi-Hole son propre serveur DNS racine et les faire communiquer ensemble (les logiciels libres unbound et bind sont idéaux pour ça, c'est ce que j'ai fait à la maison) ;
- Pi-Hole permet de voir tout ce qui passe au niveau DNS sur le réseau local, on voit donc tous les domaines interrogés par les différents équipements du réseau. C'est pas très cool pour l'intimité des occupants de la maison (il existe un paramètre pour rendre cela anonyme). Chez moi, je préviens mes invités quand ils veulent utiliser mon WiFi
;- Pi-Hole écrit beaucoup de logs, sur un Raspberry Pi il faut impérativement réduire le cycle d'écriture voire les désactiver, au risque de tuer la carte SD en seulement qq jours.
- Pi-Hole a une limite évidente, certains objets connectés sont conçus pour utiliser un serveur DNS codé en dur. C'est le cas des Chromecast de Google par exemple, qui utilise 8.8.8.8 pour leur traffic DNS (on peut tricher pour repasser par Pi-Hole, mais ça peut causer des soucis à d'autres équipements). De la même façon, si l'appareil est conçu en dur pour faire du DNS sur HTTPS (DoH) ou sur TLS (DoT) c'est mort, Pi-Hole ne pourra rien filtrer, sauf à bloquer tout l'accès Internet du dit appareil.
- Enfin, dernier inconvénient, quand un blocage pose problème, c'est un peu lourd de rentrer dans l'interface d'administration pour faire les modifications. Typiquement, lorsqu'une personne de la maison veut pouvoir utiliser tel site ou telle appli qui nécessite de contacter ce serveur de pub pour fonctionner. Ça se fait, mais c'est pas simple, (beaucoup moins que de désactiver localement sur l'appareil le bloqueur de pub).
Sinon dans l'ensemble ça fonctionne très bien et c'est très satisfaisant au quotidien
Re: Que pensez-vous de Pi-Hole ?
Merci Maxoxo pour cette réponse claire et argumentée.
Je vois que Pi-Hole est au dessus de mon niveau informatique => inatteignable pour l'instant
Je vois que Pi-Hole est au dessus de mon niveau informatique => inatteignable pour l'instant
Re: Que pensez-vous de Pi-Hole ?
En effet, Pi-Hole est trop largement au dessus de mes capacités !
Je suis allé quelquefois sur des forums logiciel libre poser bêtement une question basique, et j'ai clairement l'impression qu'on arrive dans un milieu privé pour initiés où ne domine que l'entre-soi: les quelques réponses qui arrivent sont plusieurs lignes de code (en anglais de surcroit) sans aucune explication de la part de gens très imbus de leur personne
!
Ce qui a forcément le don de rebuter la plupart des transfuges qui veulent tenter l'expérience de s'échapper des mondes fermés Windows ou Mac pour s'initier au "LOGICIEL LIBRE":
"- Si tu comprends pas, t'as qu'a retourner sous Windows !"
Pour ma part j'au commencé par m'y intéresser à l'époque de Red Hat 6.0. Mes premiers essais fructueux ont étés avec Mandrake 9.2, mais aucun des forums sur le libre, ne m'ont étés secourables, et il serait grand temps que les Linuxiens redescendent de leur piédestal pour se mettre au niveau des débutants qui n'ont jamais maîtrisé autre chose que "double-cliquer" sur un fichier EXE pour installer par exemple une imprimante.
Je suis allé quelquefois sur des forums logiciel libre poser bêtement une question basique, et j'ai clairement l'impression qu'on arrive dans un milieu privé pour initiés où ne domine que l'entre-soi: les quelques réponses qui arrivent sont plusieurs lignes de code (en anglais de surcroit) sans aucune explication de la part de gens très imbus de leur personne
! Ce qui a forcément le don de rebuter la plupart des transfuges qui veulent tenter l'expérience de s'échapper des mondes fermés Windows ou Mac pour s'initier au "LOGICIEL LIBRE":
"- Si tu comprends pas, t'as qu'a retourner sous Windows !"
Pour ma part j'au commencé par m'y intéresser à l'époque de Red Hat 6.0. Mes premiers essais fructueux ont étés avec Mandrake 9.2, mais aucun des forums sur le libre, ne m'ont étés secourables, et il serait grand temps que les Linuxiens redescendent de leur piédestal pour se mettre au niveau des débutants qui n'ont jamais maîtrisé autre chose que "double-cliquer" sur un fichier EXE pour installer par exemple une imprimante.
Aurore NL4B; Quad-Core 1.1 GHz, RAM 8 Go, SSD 240 Go, CG Intel 1920 x 1080, 15.6", Debian 11.
Re: Que pensez-vous de Pi-Hole ?
Hello vous deux,
Je vous prie de m'excuser si mon retour complet vous a dissuadé d'expérimenter, ce n'était pas le but. Je voulais simplement mettre en garde sur l'apparente simplicité mise en avant sur le site et le côté très "logiciel libre = protecteur de vie privée = ça sent bon des cheveux". La réalité est un peu plus complexe
On te donne 4 étapes : la 3ème "Configurer le DHCP de votre routeur pour utiliser Pi-hole en serveur DNS" me semble déjà perdre beaucoup de monde pour quelque chose censé être simple
On trouve aussi des tutos en français assez détaillés sur l'installation, mais bien souvent l'étape "DNS / DHCP" se résume à "Aller dans votre box, désactiver le DHCP" comme si tout le monde savait faire ça !
Quelques explications :
1. Le DNS
- Pi-hole est un serveur DNS, mais qu'est-ce qu'un serveur DNS ? DNS = Domain Name System (Système de noms de domaines). En fait tout simplement, nos machines ne savent pas communiquer sur un réseau (que ce soit local LAN ou mondial Internet/WAN) autrement qu'en allant interroger des adresses IP. Par exemple quand tu tapes https://cenabumix.org/ dans ton navigateur, ton ordinateur va en fait se connecter à l'adresse IP 154.41.66.26. C'est parce que retenir des adresses IP différentes (qui en plus peuvent changer) pour chaque site est bien compliqué que l'on a inventé le système de noms de domaines.
Concrètement, lorsque l'on possède un serveur, on va demander à une société qu'on appelle « bureau d'enregistrement » (c'est payant) de réserver un nom de domaine qui sera associé à l'adresse IP publique du serveur. Ces enregistrements sont ensuite publiés mondialement (serveur racine). Un serveur DNS c'est donc en fait un annuaire de l'ensemble de ces enregistrements.
Par exemple chez toi sur ton réseau local, quand tu as une box Internet d'un FAI. Tes appareils connectés localement auront en serveur DNS l'adresse IP de ta box. Ta box interroge ensuite le DNS national de l'opérateur (qui connaît les enregistrements internationaux).
Tu veux aller sur cenabumix.org ça donne ça :
1. Ton ordinateur ne connaît à ce stade que des IP, comme tu as demandé d'interroger un nom de domaine il passe par le protocole DNS, il va donc interroger l'IP du serveur DNS qu'il connaît donc ici l'IP de ta box.
2. Le serveur DNS va répondre à ton ordinateur la traduction du nom de domaine en adresse IP (c'est transparent pour l'utilisateur) = Il va donc indiquer à ta machine « si tu veux aller sur cenabumix.org => il faut te rendre sur 154.41.66.26 »
Le DNS c'est donc un peu le GPS et répertoire téléphonique d'Internet ! Typiquement, quand la justice ordonne le blocage d'accès à un site web, la plupart des FAI se contentent de modifier leur serveur DNS en indiquant que le domaine n'est plus attribué. Changer de serveur DNS suffit à contourner...
On peut utiliser le serveur DNS que l'on veut, rien n'oblige à utiliser celui du FAI. On peut très bien utiliser DNS publics comme ceux de Cloudflare, Google, OpenDNS, NextDNS etc. On peut donc très bien avoir son propre serveur DNS à la maison sur son réseau local. C'est ce qui est proposé avec un Pi-hole.
Pour que ça fonctionne, il faut donc que les appareils passent leurs requêtes DNS par Pi-hole donc les envoient sur l'adresse IP du Pi-hole et non pas sur la box. En revanche, comme je l'expliquais Pi-hole n'est pas un serveur DNS complet, pour fonctionner il fait du relais DNS. Pi-hole va donc servir uniquement à gérer les enregistrements interdits. En gros on lui communique une liste de domaines non autorisés (typiquement ceux dédiés à la publicité/tracking), et lorsqu'un appareil du réseau (via un site ou une appli) voudra communiquer avec ces domaines, Pi-hole répondra que ça n'existe pas. En revanche si le domaine n'est pas interdit, Pi-hole a besoin d'un vrai serveur DNS pour pouvoir l'acheminer correctement et connaître l'IP associée à ce domaine.
Dans une configuration basique le chemin sera :
Avec un domaine interdit par Pi-hole
Ton appareil => requête DNS vers Pi-hole => Domaine interdit => Pi-hole répond ça n'existe pas
Avec un domaine autorisé par Pi-hole
Ton appareil => requête DNS vers Pi-hole => Domaine autorisé => Pi-hole transfert à un serveur DNS classique (celui du FAI ou autre) => Pi-hole répond avec l'adresse IP associée au domaine.
Voilà quelques explications que j'espère compréhensibles (avec de gros raccourcis qui vexeront les experts).
(Hé oui, le DNS c'est très sensible, donc toujours se méfier quand on se connecte sur un réseau que l'on ne connaît pas, l'admin du DNS peut très bien rediriger localement le domaine de ta banque ou de ton cloud perso vers une IP à lui...Bon heureusement y'a des sécurité contre ça, mais c'est pas parfait
)
2. Le DHCP
DHCP pour « Dynamic Host Configuration Protocol » c'est un protocole réseau qui permet de faire en sorte que les appareils connectés à un même routeur reçoivent directement la bonne configuration sans intervention manuelle de l'utilisateur.
Dans le cas de ta box Internet à la maison, tu te contentes donc de brancher un câble ou de connecter l'appareil au WiFi et via le DHCP de la box il va recevoir automatiquement les informations lui permettant de communiquer sur ce réseau et d'accéder à Internet.
- Adresse IP à utiliser pour lui (son IP sur le réseau) ;
- L'adresse IP de la box (passerelle) ;
- L'adresse IP des serveurs DNS à utiliser.
Sans DHCP tu devrais rentrer ces informations manuellement sur chaque appareil. Avec le risque d'ailleurs d'attribuer une IP déjà occupée, ce qui n'arrive donc jamais en DHCP.
Si tu montes un Pi-hole sur ton réseau, ça ne suffira pas car via le DHCP de la box, les appareils reçoivent l'instruction d'utiliser le DNS de la box (celui du FAI). Il faut donc soit pouvoir modifier la configuration DHCP de la box pour que soit envoyée automatiquement aux appareils l'adresse IP du Pi-hole en tant que serveur DNS. Si cela n'est pas possible car la box ne le permet pas, alors il faudra utiliser un autre serveur DHCP que celui de la box.
Heureusement, les développeurs de Pi-hole ont tout prévu, ils ont inclut un paramètre qui permet à Pi-hole de faire DHCP et tout se fait automatiquement, suffit de cocher la case.
Attention ! Il ne peut jamais y avoir deux serveurs DHCP qui fonctionnent en même temps sur un même sous-réseau, il faudra donc désactiver le DHCP de la box, si on active celui de Pi-hole
Dans cette configuration où Pi-hole fait DHCP, il faut avoir conscience qu'en cas de panne de Pi-hole ou de l'appareil qui l'héberge il n'y aura plus de DHCP sur le réseau : plus aucun équipement ne pourra aller sur Internet ou utiliser le réseau local. Pour dépanner ça, il faudra savoir remettre une IP manuelle temporairement sur un appareil et réactiver le DHCP de la box par exemple
3. L'installation de Pi-hole
Une fois que l'on connaît ces deux notions fondamentales que sont DNS et DHCP, installer et faire fonctionner Pi-hole correctement n'a plus rien de sorcier pour un utilisateur habitué de GNU/Linux.
Idéalement, il faut un appareil dédié à ça, comme un Raspberry Pi, pouvoir le connecter à la box. De préférence, on utilisera une base Debian/Ubuntu.
Sur le Raspberry Pi, on utilisera Raspberry Pi OS qu'il faudra installer au préalable. Ensuite, l'installation de Pi-hole se fait en exécutant un script et tout est guidé. On trouve un tuto en français qui l'explique assez bien https://raspberrytips.fr/installer-pihole-raspberry-pi/
En espérant vous avoir démystifié le truc et que ça vous donnera l'envie d'essayer. On peut aussi se faire ça en live à l'occasion d'une réunion Re-Boot
Je vous prie de m'excuser si mon retour complet vous a dissuadé d'expérimenter, ce n'était pas le but. Je voulais simplement mettre en garde sur l'apparente simplicité mise en avant sur le site et le côté très "logiciel libre = protecteur de vie privée = ça sent bon des cheveux". La réalité est un peu plus complexe
Oui c'est très frustrant ! Et ça ne fait pas progresser le libre, entre ça et les guerres de chapelles puériles. Après dans le cas de Pi-hole, je pense qu'ils n'ont pas trop le temps de tout expliquer. Mais on quand on lit partout "C'est simple", suffit de regarder la page : https://Pi-hole.net/Charlinux a écrit : ↑17 juil. 2022 01:07 Je suis allé quelquefois sur des forums logiciel libre poser bêtement une question basique, et j'ai clairement l'impression qu'on arrive dans un milieu privé pour initiés où ne domine que l'entre-soi: les quelques réponses qui arrivent sont plusieurs lignes de code (en anglais de surcroit) sans aucune explication de la part de gens très imbus de leur personne
On te donne 4 étapes : la 3ème "Configurer le DHCP de votre routeur pour utiliser Pi-hole en serveur DNS" me semble déjà perdre beaucoup de monde pour quelque chose censé être simple
Je tiens à vous rassurer, je pense que vous pouvez tout à fait expérimenter et puis vous savez où aller pour qu'on vous guide. Comme je le dis dans mon poste, l'installation et la configuration basique sont relativement accessibles même pour des profanes. Par ailleurs, je sais que notre Glenic1 est souvent bien trop modeste sur son niveau réel. Il sait en faire des choses avec son linux bien plus qu'il ne le croit !
On trouve aussi des tutos en français assez détaillés sur l'installation, mais bien souvent l'étape "DNS / DHCP" se résume à "Aller dans votre box, désactiver le DHCP" comme si tout le monde savait faire ça !
Quelques explications :
1. Le DNS
- Pi-hole est un serveur DNS, mais qu'est-ce qu'un serveur DNS ? DNS = Domain Name System (Système de noms de domaines). En fait tout simplement, nos machines ne savent pas communiquer sur un réseau (que ce soit local LAN ou mondial Internet/WAN) autrement qu'en allant interroger des adresses IP. Par exemple quand tu tapes https://cenabumix.org/ dans ton navigateur, ton ordinateur va en fait se connecter à l'adresse IP 154.41.66.26. C'est parce que retenir des adresses IP différentes (qui en plus peuvent changer) pour chaque site est bien compliqué que l'on a inventé le système de noms de domaines.
Concrètement, lorsque l'on possède un serveur, on va demander à une société qu'on appelle « bureau d'enregistrement » (c'est payant) de réserver un nom de domaine qui sera associé à l'adresse IP publique du serveur. Ces enregistrements sont ensuite publiés mondialement (serveur racine). Un serveur DNS c'est donc en fait un annuaire de l'ensemble de ces enregistrements.
Par exemple chez toi sur ton réseau local, quand tu as une box Internet d'un FAI. Tes appareils connectés localement auront en serveur DNS l'adresse IP de ta box. Ta box interroge ensuite le DNS national de l'opérateur (qui connaît les enregistrements internationaux).
Tu veux aller sur cenabumix.org ça donne ça :
1. Ton ordinateur ne connaît à ce stade que des IP, comme tu as demandé d'interroger un nom de domaine il passe par le protocole DNS, il va donc interroger l'IP du serveur DNS qu'il connaît donc ici l'IP de ta box.
2. Le serveur DNS va répondre à ton ordinateur la traduction du nom de domaine en adresse IP (c'est transparent pour l'utilisateur) = Il va donc indiquer à ta machine « si tu veux aller sur cenabumix.org => il faut te rendre sur 154.41.66.26 »
Le DNS c'est donc un peu le GPS et répertoire téléphonique d'Internet ! Typiquement, quand la justice ordonne le blocage d'accès à un site web, la plupart des FAI se contentent de modifier leur serveur DNS en indiquant que le domaine n'est plus attribué. Changer de serveur DNS suffit à contourner...
On peut utiliser le serveur DNS que l'on veut, rien n'oblige à utiliser celui du FAI. On peut très bien utiliser DNS publics comme ceux de Cloudflare, Google, OpenDNS, NextDNS etc. On peut donc très bien avoir son propre serveur DNS à la maison sur son réseau local. C'est ce qui est proposé avec un Pi-hole.
Pour que ça fonctionne, il faut donc que les appareils passent leurs requêtes DNS par Pi-hole donc les envoient sur l'adresse IP du Pi-hole et non pas sur la box. En revanche, comme je l'expliquais Pi-hole n'est pas un serveur DNS complet, pour fonctionner il fait du relais DNS. Pi-hole va donc servir uniquement à gérer les enregistrements interdits. En gros on lui communique une liste de domaines non autorisés (typiquement ceux dédiés à la publicité/tracking), et lorsqu'un appareil du réseau (via un site ou une appli) voudra communiquer avec ces domaines, Pi-hole répondra que ça n'existe pas. En revanche si le domaine n'est pas interdit, Pi-hole a besoin d'un vrai serveur DNS pour pouvoir l'acheminer correctement et connaître l'IP associée à ce domaine.
Dans une configuration basique le chemin sera :
Avec un domaine interdit par Pi-hole
Ton appareil => requête DNS vers Pi-hole => Domaine interdit => Pi-hole répond ça n'existe pas
Avec un domaine autorisé par Pi-hole
Ton appareil => requête DNS vers Pi-hole => Domaine autorisé => Pi-hole transfert à un serveur DNS classique (celui du FAI ou autre) => Pi-hole répond avec l'adresse IP associée au domaine.
Voilà quelques explications que j'espère compréhensibles (avec de gros raccourcis qui vexeront les experts
). (Hé oui, le DNS c'est très sensible, donc toujours se méfier quand on se connecte sur un réseau que l'on ne connaît pas, l'admin du DNS peut très bien rediriger localement le domaine de ta banque ou de ton cloud perso vers une IP à lui...Bon heureusement y'a des sécurité contre ça, mais c'est pas parfait
)2. Le DHCP
DHCP pour « Dynamic Host Configuration Protocol » c'est un protocole réseau qui permet de faire en sorte que les appareils connectés à un même routeur reçoivent directement la bonne configuration sans intervention manuelle de l'utilisateur.
Dans le cas de ta box Internet à la maison, tu te contentes donc de brancher un câble ou de connecter l'appareil au WiFi et via le DHCP de la box il va recevoir automatiquement les informations lui permettant de communiquer sur ce réseau et d'accéder à Internet.
- Adresse IP à utiliser pour lui (son IP sur le réseau) ;
- L'adresse IP de la box (passerelle) ;
- L'adresse IP des serveurs DNS à utiliser.
Sans DHCP tu devrais rentrer ces informations manuellement sur chaque appareil. Avec le risque d'ailleurs d'attribuer une IP déjà occupée, ce qui n'arrive donc jamais en DHCP.
Si tu montes un Pi-hole sur ton réseau, ça ne suffira pas car via le DHCP de la box, les appareils reçoivent l'instruction d'utiliser le DNS de la box (celui du FAI). Il faut donc soit pouvoir modifier la configuration DHCP de la box pour que soit envoyée automatiquement aux appareils l'adresse IP du Pi-hole en tant que serveur DNS. Si cela n'est pas possible car la box ne le permet pas, alors il faudra utiliser un autre serveur DHCP que celui de la box.
Heureusement, les développeurs de Pi-hole ont tout prévu, ils ont inclut un paramètre qui permet à Pi-hole de faire DHCP et tout se fait automatiquement, suffit de cocher la case.
Attention ! Il ne peut jamais y avoir deux serveurs DHCP qui fonctionnent en même temps sur un même sous-réseau, il faudra donc désactiver le DHCP de la box, si on active celui de Pi-hole Dans cette configuration où Pi-hole fait DHCP, il faut avoir conscience qu'en cas de panne de Pi-hole ou de l'appareil qui l'héberge il n'y aura plus de DHCP sur le réseau : plus aucun équipement ne pourra aller sur Internet ou utiliser le réseau local. Pour dépanner ça, il faudra savoir remettre une IP manuelle temporairement sur un appareil et réactiver le DHCP de la box par exemple 3. L'installation de Pi-hole
Une fois que l'on connaît ces deux notions fondamentales que sont DNS et DHCP, installer et faire fonctionner Pi-hole correctement n'a plus rien de sorcier pour un utilisateur habitué de GNU/Linux.
Idéalement, il faut un appareil dédié à ça, comme un Raspberry Pi, pouvoir le connecter à la box. De préférence, on utilisera une base Debian/Ubuntu.
Sur le Raspberry Pi, on utilisera Raspberry Pi OS qu'il faudra installer au préalable. Ensuite, l'installation de Pi-hole se fait en exécutant un script et tout est guidé. On trouve un tuto en français qui l'explique assez bien https://raspberrytips.fr/installer-pihole-raspberry-pi/
En espérant vous avoir démystifié le truc et que ça vous donnera l'envie d'essayer. On peut aussi se faire ça en live à l'occasion d'une réunion Re-Boot
Re: Que pensez-vous de Pi-Hole ?
Hello Maxoxo,
Merci pour ton post super bien expliqué. J'ai quasiment tout compris.
Mais malgré cela, j'avoue que je ne suis pas prêt à me lancer dans Pi-Hole.
J'arrive à gérer (à peu près) les pubs et les traceurs sur Internet avec 2 extensions magiques de Firefox :
uBlock Origin et Privacy Badger
Pi-Hole est certainement plus fort, mais ça me consommerait aussi beaucoup de temps, ressource qui n'est pas infinie pour moi.
Cependant tes explications sont bien rangées sur le forum. Elles sont accessibles facilement et pour longtemps avec le moteur de recherche si on y entre : Pi-Hole, ou même DNS ou DHCP
Merci pour ton post super bien expliqué. J'ai quasiment tout compris.
Mais malgré cela, j'avoue que je ne suis pas prêt à me lancer dans Pi-Hole.
J'arrive à gérer (à peu près) les pubs et les traceurs sur Internet avec 2 extensions magiques de Firefox :
uBlock Origin et Privacy Badger
Pi-Hole est certainement plus fort, mais ça me consommerait aussi beaucoup de temps, ressource qui n'est pas infinie pour moi.
Cependant tes explications sont bien rangées sur le forum. Elles sont accessibles facilement et pour longtemps avec le moteur de recherche si on y entre : Pi-Hole, ou même DNS ou DHCP
Re: Que pensez-vous de Pi-Hole ?
Hello Charlinux,Charlinux a écrit : ↑17 juil. 2022 01:07...
Je suis allé quelquefois sur des forums logiciel libre poser bêtement une question basique, et j'ai clairement l'impression qu'on arrive dans un milieu privé pour initiés où ne domine que l'entre-soi : les quelques réponses qui arrivent sont plusieurs lignes de code (en anglais de surcroît) sans aucune explication.....
A Cenabumix, on essaye justement de faire un forum qui dit "tout", pas à pas, pour aider les gens qui ont peu de connaissances pointues dans le domaine informatique.
On n'augmentera l'audience du libre qu'en expliquant la démarche étape par étape comme l'a très bien fait Maxoxo en expliquant PI-Hole (et d'autres !).
Mais on n'est pas obligé de consommer l'ensemble des recettes du logiciel libre !
Re: Que pensez-vous de Pi-Hole ?
Salut,
De la même façon, dans ta configuration il faut avoir conscience que seul le trafic de ton navigateur est protégé par les extensions que tu cites. µBlock n'agit que sur ton Firefox.Ton OS et ses applications passent donc leurs requêtes DNS sans filtrage donc s'ils contactent un serveur de tracking, tu seras tracé. Avec Pi-hole, tout le trafic de la machine qu'il s'agisse du navigateur ou non, sera protégé. Comme je le disais, la vraie valeur ajoutée de Pi-hole, c'est avant tout de pouvoir contrôler ce que vont faire les objets connectés sur lesquels on ne peut pas agir pour installer un service de blocage. Par exemple chez moi : le robot aspirateur, l'imprimante HP, la TV Samsung, mes boitiers pilotes pour les radiateurs. Je suis bien content de pouvoir observer quels domaines ils contactent pour faire leur job. Le seul objet déviant à déplorer c'est d'ailleurs la TV qui contacte des services de pub sans raison...
Autre petite astuce : si tu as µBlock Origin bien configuré + La protection native de Firefox (ETP) réglée sur "Stricte", tu peux te passer de Privacy Badger car il ne fait rien de plus à part consommer de la mémoire et du CPU.
Si tu as peu d'appareils connectés et s'il s'agit uniquement d'appareils sur lesquels tu peux installer des extensions ou des applications de blocage, effectivement Pi-hole te prendra bcp de temps à mettre en place pour peu de gain (en dehors du plaisir d'apprendre). L'intérêt du Pi-hole est de couvrir l'ensemble du trafic réseau de façon centralisée, du coup aucune manipulation à faire les appareils autre que le fait de les connecter au réseau.Glenic1 a écrit : ↑17 juil. 2022 21:33 Mais malgré cela, j'avoue que je ne suis pas prêt à me lancer dans Pi-Hole.
J'arrive à gérer (à peu près) les pubs et les traceurs sur Internet avec 2 extensions magiques de Firefox :
uBlock Origin et Privacy Badger
Pi-Hole est certainement plus fort, mais ça me consommerait aussi beaucoup de temps, ressource qui n'est pas infinie pour moi.
De la même façon, dans ta configuration il faut avoir conscience que seul le trafic de ton navigateur est protégé par les extensions que tu cites. µBlock n'agit que sur ton Firefox.Ton OS et ses applications passent donc leurs requêtes DNS sans filtrage donc s'ils contactent un serveur de tracking, tu seras tracé. Avec Pi-hole, tout le trafic de la machine qu'il s'agisse du navigateur ou non, sera protégé. Comme je le disais, la vraie valeur ajoutée de Pi-hole, c'est avant tout de pouvoir contrôler ce que vont faire les objets connectés sur lesquels on ne peut pas agir pour installer un service de blocage. Par exemple chez moi : le robot aspirateur, l'imprimante HP, la TV Samsung, mes boitiers pilotes pour les radiateurs. Je suis bien content de pouvoir observer quels domaines ils contactent pour faire leur job. Le seul objet déviant à déplorer c'est d'ailleurs la TV qui contacte des services de pub sans raison...
Autre petite astuce : si tu as µBlock Origin bien configuré + La protection native de Firefox (ETP) réglée sur "Stricte", tu peux te passer de Privacy Badger car il ne fait rien de plus à part consommer de la mémoire et du CPU.
Re: Que pensez-vous de Pi-Hole ?
Salut,maxoxo a écrit : ↑21 juil. 2022 16:17 .....Si tu as peu d'appareils connectés et s'il s'agit uniquement d'appareils sur lesquels tu peux installer des extensions ou des applications de blocage, effectivement Pi-hole te prendra bcp de temps à mettre en place pour peu de gain (en dehors du plaisir d'apprendre). L'intérêt du Pi-hole est de couvrir l'ensemble du trafic réseau de façon centralisée, du coup aucune manipulation à faire les appareils autre que le fait de les connecter au réseau.....
Effectivement, c'est le cas : chez moi aucun appareil connecté en dehors de mon ordi et de mon smartphone. Je vais donc "zapper" Pi-Hole pour l'instant puisque son intérêt est de couvrir tout le trafic réseau comme tu le dis. Je conserve l'information en mémoire car elle peut servir plus tard. C'est l'avantage du forum que d'avoir une base de savoirs bien rangée par sujets et dans laquelle on peut piocher à tout moment !
Re: Que pensez-vous de Pi-Hole ?
Re-bonjour,
C'est le cas sur mon Firefox 102.0.1 pour Linux Mint 19.3. Il est réglé sur protection stricte et µBlock Origin est actif.
Donc je pourrai me passer de Privacy Badger (PB) ?
C'est dommage. J'aime bien ce petit putois qui bloque les traceurs et qui m'indique ce qu'il bloque.
Mais je m'aperçois que Firefox rapporte également ce qu'il bloque quand on clique sur le bouclier à gauche de l'URL
Mais qu'appelles-tu "µBlock Origin bien configuré" ?