Het is inderdaad niet helemaal duidelijk in het
topic en het
feature request waarom je deze oplossing zou gebruiken.
Als je echter al wat langer pihole discourse en reddit artikels leest, zal je ongetwijfeld al een aantal topics gelezen hebben over "spam" applicaties (massa's dns queries wegens blacklisted -
recent voorbeeld).
Er zijn een aantal mensen die hebben uitgezocht hoe ze dit probleem kunnen oplossen. Die oplossing is meestal: een andere query reply geven dan 0.0.0.0.
Wat de gebruiker in het
topic (niet zo heel duidelijk - summary: je kan een reply voor een domain in gravity NIET wijzigen) aanklaagd is een logisch gevolg van hoe pihole werkt. Hierboven heb ik de "decision tree" (volgorde van afhandelen) opgelijst.
Voorbeelden:
- er is een exact blacklist entry match -> reply 0.0.0.0 to client && stop
- er is een gravity (lijsten) entry match -> reply 0.0.0.0 to client && stop
- er is een whitelist entry match -> pihole-FTL kijkt nu eerst of er een beschikbaar antwoord is in de dnsmasq cache. Die cache bevat ook de entries die in de dnsmasq config files werden gemaakt. matching entry? -> reply to client && stop
- er is een whitelist entry mactch -> geen match in de dnsmasq cache? -> forward to upstream (unbound in mijn config)
belangrijk hierbij is, dat in het geval van whitelist (exact en regex) matches, de blacklist (exact en regex) en gravity (resultaat van je lijsten) niet bekeken wordt en dus de reply niet beinvloeden.
Wat deze oplossing nu specifiek bied (je kan dus een reply voor een domain in gravity WEL wijzigen, mits een whitelist entry en een dnsmasq en / of unbound config file):
- normaal gedrag: app doet query voor example.domain.org, domain in gravity? -> reply is altijd 0.0.0.0, app spams pihole met DNS queries...
- deze oplossing: app doet query voor example.domain.org, domain in gravity MAAR omdat we een exact whitelist entry hebben gemaakt wordt dit nooit gechecked. Zoals hierboven beschreven, word na de whitelist match de dnsmasq cache (o.a. resultaat van de dnsmasq configuratie files) gechecked. Dit bied je dus de mogelijkheid om een ander resultaat dan 0.0.0.0 te configureren (nxdomain of IPaddress m.b.v. dnsmasq, refused m.b.v. unbound)
-> goal achieved: niet langer 0.0.0.0 als antwoord (met DNS spam door app als gevolg) maar een ander antwoord (refused, nxdomain, IPaddress). Kwestie van uit te zoeken welk antwoord nodig is om de DNS spam te doen ophouden. Zal waarschijnlijk niet voor alle apps werken, maar de voorbeelden die werden aangehaald wijzen erop dat het soms wel lukt.
edit
de eerste oplossing maakte gebruik van 2 configuratie files, één voor dnsmasq en één voor unbound, wegens de beperkingen van dnsmasq (geen reply refused mogelijk). Je kan dit ook verwezelijken met één unbound config file, zie
hier. Voordeel: single point of administration EN altijd de geconfigureerde reply, ook als pihole disabled is...
/edit
[
Voor 6% gewijzigd door
jpgview op 02-07-2022 10:27
]
:strip_exif()/i/2002897482.png?f=thumbmini)
/u/658914/crop5f7a5ee826414_cropped.png?f=community)
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
/u/363743/crop61aa1329d36b8_cropped.png?f=community)
:strip_icc():strip_exif()/u/13671/Still-Game2.jpg?f=community)
/u/669546/crop645389a7e3f72_cropped.png?f=community)
:strip_icc():strip_exif()/u/72351/Toon_en_Len%25202015-02-02%252070x69.jpg?f=community)
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
,
:strip_icc():strip_exif()/u/144633/crop643e593ea432f_cropped.jpg?f=community)
. Tenzij er over die poort ook een sessie-aanvraag is verstuurd.
. De downside is dat als er dan toch een pakketje verloren gaat, dan moet alles tot op dat moment opnieuw verstuurd worden... wat weer extra tijd kost... 
:fill(white):strip_exif()/f/image/7VzGE5ez29VRDOeKo9TWpsL7.png?f=user_large){kind=small}
:fill(white):strip_exif()/f/image/LPKmeJou9pY19nko6fVxC4yc.png?f=user_large)
:fill(white):strip_exif()/f/image/40HXExZVbwJIwqn5ZBKTr6fZ.png?f=user_large)
:strip_icc():strip_exif()/u/707163/crop58b01c2398b01_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/25009/crop65f1e3109d1b7_cropped.jpg?f=community)
:fill(white):strip_exif()/f/image/kj2Ky4U5fbYvY02JeDNnGUh4.png?f=user_large){kind=small}
:fill(white):strip_exif()/f/image/W2lUU2Cnsa02FRNGOSqjtQJo.png?f=user_large){kind=small}
:strip_exif()/u/10069/neutron1.gif?f=community)
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
:strip_icc():strip_exif()/u/340735/crop6448f8f93e3de.jpg?f=community)
:strip_icc():strip_exif()/u/166592/crop5dbd2b6a89ba9_cropped.jpeg?f=community)
/u/19984/Link.PNG?f=community)
:strip_exif()/u/481248/crop59396aac2b552.gif?f=community)
:strip_exif()/u/253657/crop6755bf724a347.gif?f=community)
(gaat nog redelijk vanzelf ook als je het dagelijks doet)
