[Pi-Hole] Ervaringen & discussie

Raymond P schreef op maandag 15 augustus 2022 @ 19:46:

@nero355
Mail van een server is voor mij van de hoogste prioriteit, daar zie ik liever geen vieze sok meldingen tussen.

Raymond P schreef op maandag 15 augustus 2022 @ 19:57:
@dss58 Heb je van dat ip ook issues met mailen als je een client gebruikt of enkel als je smtp relay speelt voor XS4ALL?

dss58 schreef op maandag 15 augustus 2022 @ 21:47:
[...]
nee, verder geen enkel probleem

Raymond P schreef op maandag 15 augustus 2022 @ 21:55:
[...]


En als je je postfix nu eens configureert als client ipv mail relay?

pi@ph5b:~ $ apt show mutt
[..]
Description: text-based mailreader supporting MIME, GPG, PGP and threading
 Mutt is a sophisticated text-based Mail User Agent. Some highlights:
 .
  * MIME support (including RFC1522 encoding/decoding of 8-bit message
    headers and UTF-8 support).
  * PGP/MIME support (RFC 2015).
  * Advanced IMAP client supporting SSL encryption and SASL authentication.
  * POP3 support.
  * ESMTP support.
  * Message threading (both strict and non-strict).
  * Keybindings are configurable, default keybindings are much like ELM;
    Mush and PINE-like ones are provided as examples.
  * Handles MMDF, MH and Maildir in addition to regular mbox format.
  * Messages may be (indefinitely) postponed.
  * Colour support.
  * Highly configurable through easy but powerful rc file.
  * Support for compressed mailboxes.
  * An optional Sidebar.

pi@ph5b:~ $ apt-file list mutt
mutt: /etc/Muttrc
mutt: /etc/Muttrc.d/charset.rc
mutt: /etc/Muttrc.d/colors.rc
mutt: /etc/Muttrc.d/compressed-folders.rc
mutt: /etc/Muttrc.d/gpg.rc
mutt: /etc/Muttrc.d/smime.rc
mutt: /usr/bin/mutt
mutt: /usr/bin/mutt_dotlock
mutt: /usr/bin/smime_keys
[..]
mutt: /usr/share/man/man1/mutt.1.gz
mutt: /usr/share/man/man1/mutt_dotlock.1.gz
mutt: /usr/share/man/man1/smime_keys.1.gz
mutt: /usr/share/man/man5/mbox.5.gz
mutt: /usr/share/man/man5/mmdf.5.gz
mutt: /usr/share/man/man5/muttrc.5.gz
mutt: /usr/share/pixmaps/mutt.xpm

pi@ph5b:~ $ sudo apt install postfix
[..]
After this operation, 3,673 kB of additional disk space will be used.
[..]
setting myhostname: ph5b.home.dehakkelaar.nl
[..]
Postfix (main.cf) is now set up with a default configuration.  If you need to
make changes, edit /etc/postfix/main.cf (and others) as needed.  To view
Postfix configuration values, see postconf(1).

After modifying main.cf, be sure to run 'systemctl reload postfix'.
[..]
pi@ph5b:~ $

pi@ph5b:~ $ sudo apt install mutt
[..]
After this operation, 8,756 kB of additional disk space will be used.
[..]
pi@ph5b:~ $

pi@ph5b:~ $ sendmail pi@ph5b.home.dehakkelaar.nl <<< 'Subject: Hello'
pi@ph5b:~ $

pi@ph5b:~ $ tail /var/log/mail.log
Aug 16 00:12:33 ph5b postfix/postfix-script[26015]: starting the Postfix mail system
Aug 16 00:12:33 ph5b postfix/master[26017]: daemon started -- version 3.5.13, configuration /etc/postfix
Aug 16 00:16:43 ph5b postfix/pickup[26018]: 1A6E13E6E0: uid=1000 from=<pi>
Aug 16 00:16:43 ph5b postfix/cleanup[26654]: 1A6E13E6E0: message-id=<20220815221643.1A6E13E6E0@ph5b.home.dehakkelaar.nl>
Aug 16 00:16:43 ph5b postfix/qmgr[26019]: 1A6E13E6E0: from=<pi@ph5b.home.dehakkelaar.nl>, size=271, nrcpt=1 (queue active)
Aug 16 00:16:43 ph5b postfix/local[26656]: 1A6E13E6E0: to=<pi@ph5b.home.dehakkelaar.nl>, relay=local, delay=0.39, delays=0.26/0.11/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox)
Aug 16 00:16:43 ph5b postfix/qmgr[26019]: 1A6E13E6E0: removed

pi@ph5b:~ $ mutt
/home/pi/Mail does not exist. Create it? ([yes]/no): y
[..]
q:Quit  d:Del  u:Undel  s:Save  m:Mail  r:Reply  g:Group  ?:Help
   1 N F Aug 16 pi@ph5b.home.de (  0K) Hello

pi@ph5b:~ $ sendmail pi <<< 'Subject: Hello 2'
pi@ph5b:~ $

pi@ph5b:~ $ mutt
[..]
q:Quit  d:Del  u:Undel  s:Save  m:Mail  r:Reply  g:Group  ?:Help
   1   F Aug 16 pi@ph5b.home.de (  0K) Hello
   2 N F Aug 16 pi@ph5b.home.de (  0K) Hello 2

pi@ph5b:~ $ sudo sendmail pi <<< 'Subject: Hello from root'
pi@ph5b:~ $

pi@ph5b:~ $ mutt
[..]
q:Quit  d:Del  u:Undel  s:Save  m:Mail  r:Reply  g:Group  ?:Help
   1   F Aug 16 pi@ph5b.home.de (  0K) Hello
   2 O F Aug 16 pi@ph5b.home.de (  0K) Hello 2
   3 N   Aug 16 root            (  0K) Hello from root

pi@ph5b:~ $ sudo -u www-data sendmail pi <<< 'Subject: Hello from www-data'
pi@ph5b:~ $

pi@ph5b:~ $ mutt
[..]
q:Quit  d:Del  u:Undel  s:Save  m:Mail  r:Reply  g:Group  ?:Help
   1   F Aug 16 pi@ph5b.home.de (  0K) Hello
   2 O F Aug 16 pi@ph5b.home.de (  0K) Hello 2
   3 O   Aug 16 root            (  0K) Hello from root
   4 N   Aug 16 www-data        (  0K) Hello from www-data

pi@ph5b:~ $ sudo -u www-data sendmail pihole <<< 'Subject: Hello from www-data'
pi@ph5b:~ $

pi@ph5b:~ $ sudo -u pihole mutt
/home/pihole/Mail does not exist. Create it? ([yes]/no): y
[..]
q:Quit  d:Del  u:Undel  s:Save  m:Mail  r:Reply  g:Group  ?:Help
   1 N   Aug 16 www-data        (  0K) Hello from www-data

pi@ph5b:~ $ sudo ss -nltup sport = 25
Netid    State     Recv-Q    Send-Q       Local Address:Port        Peer Address:Port    Process
tcp      LISTEN    0         100              127.0.0.1:25               0.0.0.0:*        users:(("master",pid=26017,fd=13))
tcp      LISTEN    0         100                  [::1]:25                  [::]:*        users:(("master",pid=26017,fd=14))

pi@ph5b:~ $ pstree -s $(pidof -s master)
systemd───master─┬─pickup
                 ├─qmgr
                 ├─smtpd
                 └─tlsmgr

pi@ph5b:~ $ nc -v localhost 25
Connection to localhost (::1) 25 port [tcp/smtp] succeeded!
220 ph5b.home.dehakkelaar.nl ESMTP Postfix (Raspbian)

1

sudo dpkg-reconfigure postfix

[ Voor 54% gewijzigd door deHakkelaar op 16-08-2022 02:36 . Reden: ik mis altijd wel wat ]

deHakkelaar schreef op maandag 15 augustus 2022 @ 23:20:
[...]

Je speelt geen relay voor XS4ALL, je bent de locale relay voor je eigen FQDN.
Je configureert in de software je XS4ALL relay omdat poortje 25 uitgaand vaak geblokkeerd wordt door een boel ISP's behalve voor hun eigen MTA's/relays. (EDIT: al weet ik niet zeker ofdat dit nog steeds geblokkeerd wordt door de meesten).

dss58 schreef op vrijdag 12 augustus 2022 @ 14:30:
[...]

Met die opties van monit kom ik geen streep verder, zojuist deze https://www.howtoraspberr...mail-from-a-raspberry-pi/ geinstalleerd en het werkte meteen met

[...]
met m'n eigen email adres natuurlijk
/etc/msmtprc:

[...]

maar de spooler van monit laat ie staan hoe koppel ik dit aan de alert van monit ?

Of kan dat niet ? volgens mij zit ik in een tunnelvisie dat het niet mooi meer is

[...]

Raymond P schreef op dinsdag 16 augustus 2022 @ 02:46:
Yes. En toch gaat het nu exact daar fout. De ontvangende relay vertrouwt de lokale relay niet.

[ Voor 6% gewijzigd door deHakkelaar op 16-08-2022 03:34 ]

[ Voor 10% gewijzigd door Raymond P op 16-08-2022 05:14 ]

Raymond P schreef op dinsdag 16 augustus 2022 @ 05:09:
Los daarvan: als het werkt dan werkt het. Maar het werkt nu niet voor @dss58

deHakkelaar schreef op dinsdag 16 augustus 2022 @ 05:15:
[...]

Tja dat is een ander problem met die blacklist.
Mogelijk istie op de blacklist terecht gekomen door het geneuzel met monit en is er al een bulk mail proberen te versturen waardoor er ergens alarmbellen zijn afgegaan.
Geen idee wat die blacklist exact heeft veroorzaakt.
Afwachten op het antwoord.

Ik ga toch echt nu een oogje dicht doen helaas.
Val om van de slaap dus zal wel door de warmte heen kunnen slapen
NN!

Airw0lf schreef op dinsdag 16 augustus 2022 @ 08:44:
Is het niet handiger om voor dat MTA/monitoring vraagstuk een apart topic op te zetten?
Ik heb de laatste pagina's aan berichten niet echt gelezen - enkel "gescanned". Maar het lijkt erop alsof het geheel weinig of niks meer te maken heeft met pihole? En daarmee eigenlijk off-topic is?

Airw0lf schreef op dinsdag 16 augustus 2022 @ 08:44:
En daarmee eigenlijk off-topic is?

[ Voor 24% gewijzigd door Wachten... op 18-08-2022 11:56 ]

Wachten... schreef op donderdag 18 augustus 2022 @ 11:52:
Misschien een belachelijke vraag voor de wat meer geavanceerde Linux gebruiker, maar hoe vaak en hoe snel updaten jullie de PiHole ?

En ik doel dan eigenlijk ook meer op alle apps die je op een Raspberry Pi hebt draaien.
Zijn er ook nog andere/makkelijkere manier om dit te managen? Nu doe ik maandelijks even inloggen op mijn Raspberry Pi, maar het is iedere keer wel even wat werk om alles na te lopen.

Is zoiets nog te automatiseren en zo ja is dit aan te raden?

En klopt het dat met sudo apt-get update en sudo apt-get upgrade PiHole niet wordt geupdate, maar dat je dit echt handmatig zelf moet updaten met sudo pihole -up

Edit: Volgens mij heb ik hier al een deel van mijn antwoord gevonden
https://dietpi.com/forum/t/update-of-the-software/3695

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#!/bin/sh
echo ""
echo "=========="
date
echo ""
sudo apt-get update -y
sudo apt-get upgrade -y
sudo apt-get dist-upgrade -y
sudo apt-get autoremove -y
echo ""
date
sudo chmod -x /etc/update-motd.d/*
echo "=========="
echo ""
sudo shutdown -r now

1

00 2 * * sat /home/will/update-ubuntu.sh >> /var/log/ubuntu-updates.log

1

00 1 * * sat sudo pihole -up >> /var/log/pihole-updates.log

Wachten... schreef op donderdag 18 augustus 2022 @ 11:52:
Misschien een belachelijke vraag voor de wat meer geavanceerde Linux gebruiker, maar hoe vaak en hoe snel updaten jullie de PiHole ?

En ik doel dan eigenlijk ook meer op alle apps die je op een Raspberry Pi hebt draaien.
Zijn er ook nog andere/makkelijkere manier om dit te managen? Nu doe ik maandelijks even inloggen op mijn Raspberry Pi, maar het is iedere keer wel even wat werk om alles na te lopen.

Is zoiets nog te automatiseren en zo ja is dit aan te raden?

En klopt het dat met sudo apt-get update en sudo apt-get upgrade PiHole niet wordt geupdate, maar dat je dit echt handmatig zelf moet updaten met sudo pihole -up

Edit: Volgens mij heb ik hier al een deel van mijn antwoord gevonden
https://dietpi.com/forum/t/update-of-the-software/3695

Miki schreef op donderdag 18 augustus 2022 @ 12:55:
[...]

Maandelijks update ik al mijn containers en gebruik ik zelf: apt update en apt full-upgrade. Apt-get is nog een relikwie uit het verleden

ed1703 schreef op donderdag 18 augustus 2022 @ 13:43:
Vinden jullie het niet veel makkelijker om het zo te bouwen om een e-mail te ontvangen of bij het inloggen een waarschuwing te krijgen dat er updates zijn? Dan wacht je een aantal dagen en ga je updaten? Gelijk 's nachts updaten als ze er zijn en er gaat wat stuk (zie zelfs een reboot) is 's ochtends erg ongemakkelijk wakker worden.. Daar helpt douwe egberts ook niet tegen kan ik je vertellen.

dss58 schreef op donderdag 18 augustus 2022 @ 14:11:
[...]

moet je wel kunnen mailen vanaf de pi, KPN herhaaldelijk gemaild met error 501, niets !! ik moet maar snel over naar freedom, xs4all zal kapot MOETEN is hun motto, daar heeft het alle schijn van

Airw0lf schreef op donderdag 18 augustus 2022 @ 12:33:
[...]


Ooit eens begonnen met scriptjes in cronjobs steken - voor zowel OS updates als voor pihole.
Beiden lopen eens per week in de nacht van vrijdag op zaterdag.

Die voor het OS (Ubuntu):

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

#!/bin/sh echo "" echo "==========" date echo "" sudo apt-get update -y sudo apt-get upgrade -y sudo apt-get dist-upgrade -y sudo apt-get autoremove -y echo "" date sudo chmod -x /etc/update-motd.d/* echo "==========" echo "" sudo shutdown -r now

De bijbehorende cronjob:

code:

1	00 2 * * sat /home/will/update-ubuntu.sh >> /var/log/ubuntu-updates.log

Dit wordt nog steeds zo gebruikt (en doet zijn ding).

En voor pihole is er alleen een cronjob:

code:

1	00 1 * * sat sudo pihole -up >> /var/log/pihole-updates.log

Hoewel niet geadviseerd door de makers van pihole en vele anderen heb ik die cronjob sinds een maar maanden toch weer actief gemaakt - daarvoor gaf die allerhande problemen. Maar omdat de updates toen een jaar lang vlekkeloos liepen heb ik die weer actief gemaakt.

Zoals je ziet loopt de pihole-cronjob als eerste. De OS-update is ook te zien als een soort vangnet - mislukt de pihole update, dan gaat die bij de reboot in de opstart-herkansing.

Het eindresultaat wordt gemonitored met een ander systeem op basis van DNS-aanvragen.
Als ik dan zaterdagmorgen bij de eerste koffie een DNS-alarm voorbij zie komen weet ik dat er iets mis is met pihole en/of onderliggend OS.

Voor de rest is het (denk ik) meer een kwestie van je "risk-appetite".
Het risico met geautomatiseerde patches en updates is dat je eindigt met een niet-werkend OS en/of applicatie.

ed1703 schreef op donderdag 18 augustus 2022 @ 13:43:
Vinden jullie het niet veel makkelijker om het zo te bouwen om een e-mail te ontvangen of bij het inloggen een waarschuwing te krijgen dat er updates zijn? Dan wacht je een aantal dagen en ga je updaten? Gelijk 's nachts updaten als ze er zijn en er gaat wat stuk (zie zelfs een reboot) is 's ochtends erg ongemakkelijk wakker worden.. Daar helpt douwe egberts ook niet tegen kan ik je vertellen.

Airw0lf schreef op donderdag 18 augustus 2022 @ 14:18:
[...]


En meelen als client? Dat zou moeten werken - toch?

Ik heb wat monitoring lopen die gebruik maakt van zoiets als sendmail:
Je vult een smtp-server:<tcp-poort> in met zijn credentials en tis klaar?
Waarbij tcp-poort 465 of 578 is?
Of mis ik iets?

Aug 18 07:07:48 pihole postfix/smtp[1310]: EB7A260BB5: to=<MEELNAAM@xs4all.nl>, relay=mx.kpnmail.nl[195.121.65.158]:25, delay=398081, delays=398080/0.19/0.06/0, dsn=4.5.0, status=deferred (host mx.kpnmail.nl[195.121.65.158] refused to talk to me: 521 5.5.0 Your IP has been blacklisted. Please contact abuse@kpn.com for more information.)

Raymond P schreef op donderdag 18 augustus 2022 @ 14:33:
@Airw0lf was jij niet degene die eea offtopic vond?

Kort samengevat voor je: dat werkte, maar de gekozen log monitor software heeft een brakke smtp implementatie.
Mailen met msmtp had hij iig werkend.

@dss58 Om heel eerlijk te zijn zal je (uiteindelijk) bij freedom of elk andere ISP tegen hetzelfde probleem aanlopen.

[ Voor 21% gewijzigd door dss58 op 18-08-2022 15:13 ]

Raymond P schreef op donderdag 18 augustus 2022 @ 13:14:
[...]


Eh nee? Apt is een subset van apt-get/apt-cache. En op Linux Mint is apt een python wrapper om apt-get/cache.
Aptitude is inmiddels wel een relikwie, geloof ik.

Als casual user kom je overigens prima weg met apt, het is ook bedoeld als end user interface.

The apt command-line utility is a successor to the well known apt-get, offering simpler installation and maintenance for the DEB packages used with Debian, Ubuntu, Knoppix, and many other Linux distros.

dss58 schreef op donderdag 18 augustus 2022 @ 15:11:

[...]

dan moeten ze iets anders in de omschrijving van de error zetten, toch ?

Lizard schreef op donderdag 18 augustus 2022 @ 15:00:
[...]

Nu ben je gedeeltelijk het wiel opnieuw aan het uitvinden, zowel Ubuntu als Rasbian (Debian) hebben zelf al ondersteuning om unattended upgrades te doen:

https://help.ubuntu.com/c...ended-upgrades.22_package

Mr.Viper schreef op donderdag 18 augustus 2022 @ 15:06:
[...]


Ik heb Pi-Hole in een Docker-container draaien en Diun kijkt voor mij of er updates zijn. Als die er zijn dan krijg ik via Telegram een berichtje. Updaten doe ik ook pas veel later als ik er aan denk, ik wil ook niet de bugs tegenkomen direct na een release.

Lizard schreef op donderdag 18 augustus 2022 @ 15:00:
[...]

Nu ben je gedeeltelijk het wiel opnieuw aan het uitvinden, zowel Ubuntu als Rasbian (Debian) hebben zelf al ondersteuning om unattended upgrades te doen:

https://help.ubuntu.com/c...ended-upgrades.22_package

[ Voor 5% gewijzigd door Airw0lf op 18-08-2022 16:00 ]

Raymond P schreef op donderdag 18 augustus 2022 @ 15:41:
[...]


De omschrijving is duidelijk, je bent geblacklist.
Soms is dat gewoon preventief een heel block van consumenten ips. Soms heb je het zelf getriggered.

Ik snap prima dat je het liefst een heldere uitleg krijgt. Heb je al geprobeerd je eigen ip door mx blacklist checkers te halen om te zien op welke lijsten je exact staat?

Raymond P schreef op donderdag 18 augustus 2022 @ 14:33:
@Airw0lf was jij niet degene die eea offtopic vond?

Kort samengevat voor je: dat werkte, maar de gekozen log monitor software heeft een brakke smtp implementatie.
Mailen met msmtp had hij iig werkend.

@dss58 Om heel eerlijk te zijn zal je (uiteindelijk) bij freedom of elk andere ISP tegen hetzelfde probleem aanlopen.

Miki schreef op donderdag 18 augustus 2022 @ 15:16:
[...]

https://www.linux-magazin.../2018/208/apt-vs.-apt-get


[...]


Ah wel, gebruik wat werkt maar ik ben fan van APT

dss58 schreef op donderdag 18 augustus 2022 @ 15:53:
[...]

zojuist gecheckd bij https://mxtoolbox.com/blacklists.aspx een heel stel geprobeerd uit 77.172.0.0/16 = 64K ip adressen , allemaal bij spamhaus ZEN

Airw0lf schreef op donderdag 18 augustus 2022 @ 15:50:
[...]


Kan zijn - maar dit is een script wat afkomstig is van Ubuntu 16.04-LTS-server.
In die tijd was er op dit vlak niet zo bar veel geregeld.

@dss58 Om heel eerlijk te zijn zal je (uiteindelijk) bij freedom of elk andere ISP tegen hetzelfde probleem aanlopen.

dss58 schreef op donderdag 18 augustus 2022 @ 16:08:
@Raymond P

[...]

zouden ze dat allemaal doen ? ik vind het nogal knullig om het abuse adres erin te zetten en verder alles af laten weten, ik zit dik 20 jaar bij xs4all maar zoiets stoms heb ik nog nooit gezien.

Raymond P schreef op donderdag 18 augustus 2022 @ 15:59:
[...]

Nee, unattended-upgrades is er al een hele tijd (2008 ofzo).

Raymond P schreef op donderdag 18 augustus 2022 @ 16:20:
[...]


Ja.
Punt is dat jouw bak nog steeds niet netjes geconfigureerd is om mail af te leveren en al was 'ie dat wel heb je nog een goede kans dat hier en daar mail geweigerd gaat worden totdat je een reputabele sender score krijgt.
Als je je config aanpast naar een postfix smarthost, sendmail relay of gewoon een ander log-check tooltje gebruikt die wel op poortje 587 mail af kan leveren zal je probleem als sneeuw voor de zon verdwijnen.
Xs4all heeft namelijk een mailserver voor jou draaien zodat je al deze problemen niet hebt, bovenstaande opties zorgen ervoor dat je die optie benut.

Raymond P schreef op donderdag 18 augustus 2022 @ 16:20:
[...]


Ja.
Punt is dat jouw bak nog steeds niet netjes geconfigureerd is om mail af te leveren en al was 'ie dat wel heb je nog een goede kans dat hier en daar mail geweigerd gaat worden totdat je een reputabele sender score krijgt.
Als je je config aanpast naar een postfix smarthost, sendmail relay of gewoon een ander log-check tooltje gebruikt die wel op poortje 587 mail af kan leveren zal je probleem als sneeuw voor de zon verdwijnen.
Xs4all heeft namelijk een mailserver voor jou draaien zodat je al deze problemen niet hebt, bovenstaande opties zorgen ervoor dat je die optie benut.

[ Voor 3% gewijzigd door dss58 op 18-08-2022 20:08 ]

Outbound Email policy of KPN Internet / AS8737 / AS1136. for this IP range

It is the policy of KPN Internet that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server allocated to KPN Internet customers. To find the hostname of the correct mail server to use, customers should consult the original signup documentation or contact KPN Internet Technical Support.
Removal procedure

If you are not using normal email software but instead are running a mail server and you are the owner of a Static IP address in the range 86.92.0.0/16 and you have a legitimate reason for operating a mail server on this IP, you can automatically remove (suppress) your static IP address from the PBL database.

1

sudo dpkg-reconfigure postfix

1
2
3
4
5
6
7
8

                       Mail server type = Satellite system
                       System mail name = ph5b.home.dehakkelaar.nl
                        SMTP relay host = smtp.kpnmail.nl
     Root and postmaster mail recipient = Mijn publieke meel adres
   Other destination to accept mail for = niks ingevuld oftewel blank/geen.
Force synchronous updates on mail queue = no
                         Local networks = de default loopback IP's die al zijn ingevuld.
                     Mailbox size limit = 51200000

pi@ph5b:~ $ date; sendmail to@mail.address <<< 'Subject: Hello'
Thu 18 Aug 21:27:31 CEST 2022

pi@ph5b:~ $ tail -F /var/log/mail.log
[..]
Aug 18 21:27:31 ph5b postfix/pickup[4455]: 89A143E6E7: uid=1000 from=<pi>
Aug 18 21:27:31 ph5b postfix/cleanup[4694]: 89A143E6E7: message-id=<20220818192731.89A143E6E7@ph5b.home.dehakkelaar.nl>
Aug 18 21:27:31 ph5b postfix/qmgr[4456]: 89A143E6E7: from=<pi@ph5b.home.dehakkelaar.nl>, size=271, nrcpt=1 (queue active)
Aug 18 21:27:32 ph5b postfix/smtp[4696]: 89A143E6E7: to=<to@mail.address>, relay=smtp.kpnmail.nl[195.121.65.26]:25, delay=0.69, delays=0.23/0.18/0.15/0.12, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as cd4022a5-1f2b-11ed-ad28-00505699772e)
Aug 18 21:27:32 ph5b postfix/qmgr[4456]: 89A143E6E7: removed

pi@ph5b:~ $ sudo apt install monit
[..]
After this operation, 931 kB of additional disk space will be used.
[..]
pi@ph5b:~ $

pi@ph5b:~ $ sudo nano /etc/monit/monitrc
[..]
set mailserver localhost
set alert to@mail.address not on { instance, action }

set httpd port 2812 and
  use address localhost # only accept connection from localhost
  allow localhost # allow localhost to connect to the server and
  allow admin:monit # require user 'admin' with password 'monit'

pi@ph5b:~ $ sudo nano /etc/monit/conf-available/pihole-logs
check file pihole.log with path /var/log/pihole/pihole.log
   if match "A] test.domain.lookup" then alert

pi@ph5b:~ $ sudo ln -s /etc/monit/conf-available/pihole-logs /etc/monit/conf-enabled/
pi@ph5b:~ $

pi@ph5b:~ $ sudo monit reload
Reinitializing monit daemon

pi@ph5b:~ $ sudo monit status
Monit 5.27.2 uptime: 27m

File 'pihole.log'
  status                       OK
  monitoring status            Monitored
  monitoring mode              active
  on reboot                    start
  permission                   640
  uid                          999
  gid                          995
  size                         699.2 kB
  access timestamp             Sat, 28 May 2022 01:18:33
  change timestamp             Thu, 18 Aug 2022 22:00:00
  modify timestamp             Thu, 18 Aug 2022 22:00:00
  content match                no
  data collected               Thu, 18 Aug 2022 22:00:30

System 'ph5b'
  status                       OK
  monitoring status            Monitored
  monitoring mode              active
  on reboot                    start
  load average                 [0.27] [0.23] [0.19]
  cpu                          1.6%usr 2.2%sys 0.0%nice 0.3%iowait 0.0%hardirq 0.1%softirq 0.0%steal 0.0%guest 0.0%guestnice
  memory usage                 100.7 MB [23.4%]
  swap usage                   26.5 MB [26.5%]
  uptime                       26d 2h 35m
  boot time                    Sat, 23 Jul 2022 19:25:42
  filedescriptors              1251 [0.0% of 2147483647 limit]
  data collected               Thu, 18 Aug 2022 22:00:30

pi@ph5b:~ $ date; dig +noall @localhost test.domain.lookup
Thu 18 Aug 22:16:19 CEST 2022

pi@ph5b:~ $ tail -F /var/log/monit.log
[..]
[2022-08-18T22:17:54+0200] error    : 'pihole.log' content match:
Aug 18 22:16:20 dnsmasq[27353]: query[A] test.domain.lookup from ::1

pi@ph5b:~ $ tail -F /var/log/mail.log
[..]
Aug 18 22:17:54 ph5b postfix/smtpd[5686]: connect from localhost[::1]
Aug 18 22:17:54 ph5b postfix/smtpd[5686]: A68033E714: client=localhost[::1]
Aug 18 22:17:54 ph5b postfix/cleanup[5689]: A68033E714: message-id=<1660853874.556a303f1e35389d@ph5b>
Aug 18 22:17:54 ph5b postfix/qmgr[4456]: A68033E714: from=<monit@ph5b.home.dehakkelaar.nl>, size=734, nrcpt=1 (queue active)
Aug 18 22:17:54 ph5b postfix/smtpd[5686]: disconnect from localhost[::1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Aug 18 22:17:55 ph5b postfix/smtp[5690]: A68033E714: to=<to@mail.address>, relay=smtp.kpnmail.nl[195.121.65.26]:25, delay=1, delays=0.14/0.19/0.17/0.53, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as dff1e92a-1f32-11ed-8bc8-005056998788)
Aug 18 22:17:55 ph5b postfix/qmgr[4456]: A68033E714: removed

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

Return-Path: <monit@ph5b.home.dehakkelaar.nl> Delivered-To: to@mail.address Received: from localhost (localhost [127.0.0.1]) by meel.server (Postfix) with ESMTP id 39688580066 for <to@mail.address>; Thu, 18 Aug 2022 22:18:35 +0200 (CEST) X-Virus-Scanned: Debian amavisd-new at meel.server Received: from meel.server ([127.0.0.1]) by localhost (meel.server [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id LYLrwB5+-pF2 for <to@mail.address>; Thu, 18 Aug 2022 22:17:55 +0200 (CEST) Received: from ewsoutbound.kpnmail.nl (ewsoutbound.kpnmail.nl [195.121.94.184]) by meel.server (Postfix) with ESMTPS id C1F72580065 for <to@mail.address>; Thu, 18 Aug 2022 22:17:55 +0200 (CEST) X-KPN-MessageId: d5c89477-1f32-11ed-bd66-005056994fde Received: from smtp.kpnmail.nl (unknown [10.31.155.7]) by ewsoutbound.so.kpn.org (Halon) with ESMTPS id d5c89477-1f32-11ed-bd66-005056994fde; Thu, 18 Aug 2022 22:17:51 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=kpnmail.nl; s=kpnmail01; h=message-id:content-type:mime-version:date:subject:to:from; bh=Xj58jcjXwxiIB8Ju66oiKB0sViK+2cjSNulvezu4cII=; b=l/pdtjzSAZ/iTdrtFvSm2hLUAgKBdeV8LtxQXK6nYvHWL7dAvJQxlvLf+H5sMwDrsgmbcmvCtLVSg gqI+vAcqeeMa+b0XwEZCKLYkhjb/xryosQV/8JahMgyTWqDaGBTz+sSZ4cwtGw/1TSkJFBe/wis/NJ rXeQ2F6IO+fSm2tE= X-Originating-IP: 86.92.XX.XX Received: from ph5b.home.dehakkelaar.nl (XX-XX-XX-XX.fixed.kpn.net [XX.XX.XX.XX]) by smtp.kpnmail.nl (Halon) with ESMTPS id dff1e92a-1f32-11ed-8bc8-005056998788; Thu, 18 Aug 2022 22:18:08 +0200 (CEST) Received: from ph5b (localhost [IPv6:::1]) by ph5b.home.dehakkelaar.nl (Postfix) with ESMTP id A68033E714 for <to@mail.address>; Thu, 18 Aug 2022 22:17:54 +0200 (CEST) From: monit@ph5b.home.dehakkelaar.nl To: to@mail.address Subject: monit alert -- Content match pihole.log Date: Thu, 18 Aug 2022 20:17:54 GMT X-Mailer: Monit 5.27.2 MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit Message-Id: <1660853874.556a303f1e35389d@ph5b> Content match Service pihole.log Date: Thu, 18 Aug 2022 22:17:54 Action: alert Host: ph5b Description: content match: Aug 18 22:16:20 dnsmasq[27353]: query[A] test.domain.lookup from ::1 Your faithful employee, Monit

[ Voor 98% gewijzigd door Raymond P op 18-08-2022 23:05 ]

deHakkelaar schreef op donderdag 18 augustus 2022 @ 23:12:
[...]

ph5b.home.dehakkelaar.nl is toch geen "valid" publiekelijk domein (EDIT: hij lost niet op naar enige IP's of namen)?

pi@ph5b:~ $ dig ph5b.home.dehakkelaar.nl mx
[..]
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43777
[..]
;; QUESTION SECTION:
;ph5b.home.dehakkelaar.nl.      IN      MX

pi@ph5b:~ $ dig ph5b.home.dehakkelaar.nl a
[..]
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3553
[..]
;; QUESTION SECTION:
;ph5b.home.dehakkelaar.nl.      IN      A

EDIT2: Ow en nog iets, die home.dehakkelaar.nl domeinnaam gebruik ik niet daadwerkelijk thuis.
Alleen maar hier als voorbeeld

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

Commando: dig ph5b.home.dehakkelaar.nl

; <<>> DiG 9.16.1-Ubuntu <<>> ph5b.home.dehakkelaar.nl
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 62280
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;ph5b.home.dehakkelaar.nl.      IN      A

;; AUTHORITY SECTION:
dehakkelaar.nl.         43200   IN      SOA     ns0.leaseweb.nl. Postmaster.leaseweb.nl. 2017051103 14400 7200 604800 43200

;; Query time: 31 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Aug 18 23:23:10 CEST 2022
;; MSG

[ Voor 12% gewijzigd door Raymond P op 18-08-2022 23:32 ]

Raymond P schreef op vrijdag 19 augustus 2022 @ 00:08:
Maar dan is het niet direct een valide setup want de mail wordt nog steeds niet als een user aan een smtp server aangeboden maar als een relay/host.

• Draaien wireguard, pihole en unbound op dezelfde host?
• Heb je de wireguard port ook naar buiten toe open gezet in je router?

Webgnome schreef op vrijdag 19 augustus 2022 @ 10:43:

• Draaien wireguard, pihole en unbound op dezelfde host?
• Heb je de wireguard port ook naar buiten toe open gezet in je router?

Als antwoord op vraag 1 ja is dan hoef je unbound niet open te zetten naar buiten. Pihole is waarschijnlijk de enige die deze gebruikt en doet dat intern. Daarnaast zou je voor de zekerheid kunnen controleren of dat de poort van wireguard die je nu open hebt gezet ook daadwerkelijk de poort is die wireguard gebruikt.

[ Voor 32% gewijzigd door Raymond P op 19-08-2022 11:04 ]

Raymond P schreef op vrijdag 19 augustus 2022 @ 11:03:
Gaat de FORWARD chain ook goed in ufw of staat die dicht?

* Raymond P spreekt geen ufw, iptables -L -n ?

Wachten... schreef op vrijdag 19 augustus 2022 @ 10:46:
[...]


1: Ja het draait allemaal op dezelfde Raspberry pi
2: Ja zeker Wireguard werkte ook al die tijd, maar had nog geen tijd gehad om met UFW aan de slag te gaan. Zodra ik UFW uitzet werkt alles gewoon. Dus er staat enkel een poort open voor de VPN op de router.

Webgnome schreef op vrijdag 19 augustus 2022 @ 11:21:
[...]


Als het zonder UFW wel werkt en met UFW aan niet werkt dan weet je een ding zeker. Het ligt aan UFW . Ik zou even controleren of dat de poort die je open hebt gezet voor Wireguard de juiste is. Maar ik zal vanavond even kijken of dat je toch nog iets meer nodig hebt dan alleen de wireguard poort.

Raymond P schreef op vrijdag 19 augustus 2022 @ 11:39:
Ja, ik denk het wel.
Je zult routed op allow moeten krijgen of rules schrijven om expliciet traffic toe te laten.

1
2
3
4
5
6
7
8

Chain FORWARD (policy DROP)
target     prot opt source               destination
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-before-forward  all  --  anywhere             anywhere
ufw-after-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-reject-forward  all  --  anywhere             anywhere
ufw-track-forward  all  --  anywhere             anywhere

Miki schreef op donderdag 18 augustus 2022 @ 12:55:
Apt-get is nog een relikwie uit het verleden

Raymond P schreef op donderdag 18 augustus 2022 @ 15:59:
Juh, ik zou bijvoorbeeld niet weten hoe ik met apt broken packages fix, releases pins of handmatig geinstalleerde packages mark als auto.
Voor zover ik heb meegekregen is apt daar ook niet voor bedoeld maar een hogere level interface.

# apt-mark --help
apt 2.0.9 (amd64)
Usage: apt-mark [options] {auto|manual} pkg1 [pkg2 ...]

apt-mark is a simple command line interface for marking packages
as manually or automatically installed. It can also be used to
manipulate the dpkg(1) selection states of packages, and to list
all packages with or without a certain marking.

Most used commands:
  auto - Mark the given packages as automatically installed
  manual - Mark the given packages as manually installed
  minimize-manual - Mark all dependencies of meta packages as automatically installed.
  hold - Mark a package as held back
  unhold - Unset a package set as held back
  showauto - Print the list of automatically installed packages
  showmanual - Print the list of manually installed packages
  showhold - Print the list of packages on hold

See apt-mark(8) for more information about the available commands.
Configuration options and syntax is detailed in apt.conf(5).
Information about how to configure sources can be found in sources.list(5).
Package and version choices can be expressed via apt_preferences(5).
Security details are available in apt-secure(8).

# apt-get --help
apt 2.0.9 (amd64)
Usage: apt-get [options] command
       apt-get [options] install|remove pkg1 [pkg2 ...]
       apt-get [options] source pkg1 [pkg2 ...]

See apt-get(8) for more information about the available commands.
Configuration options and syntax is detailed in apt.conf(5).
Information about how to configure sources can be found in sources.list(5).
Package and version choices can be expressed via apt_preferences(5).
Security details are available in apt-secure(8).
                                        This APT has Super Cow Powers.

Wachten... schreef op donderdag 18 augustus 2022 @ 11:52:
Misschien een belachelijke vraag voor de wat meer geavanceerde Linux gebruiker, maar hoe vaak en hoe snel updaten jullie de PiHole ?

Raymond P schreef op vrijdag 19 augustus 2022 @ 07:33:
@deHakkelaar Met een frisse blik snap ik je ph5b.home.dehakkelaar.nl debacel.
Ik kijk daarklaarblijkelijk met een vastgeroeste blik naar.

Raymond P schreef op vrijdag 19 augustus 2022 @ 11:59:
@Wachten... https://manpages.ubuntu.com/manpages/bionic/man8/ufw.8.html

oftewel om de default policy voor routed traffic aan te passen naar toestaan:

code:

1	sudo ufw default allow routed

Raymond P schreef op vrijdag 19 augustus 2022 @ 11:03:
* Raymond P spreekt geen ufw, iptables -L -n ?

Wachten... schreef op vrijdag 19 augustus 2022 @ 11:14:
Wat bedoel je daarmee? Ik ben nog niet enorm bekend met UFW

Raymond P schreef op vrijdag 19 augustus 2022 @ 11:22:
Nu weet ik niet hoe je dat configureert met UFW, maar UFW is een wrapper om iptables.
Het eindresultaat van UFW kan je dus zien in iptables met het command: iptables -L

pi@ph5b:~ $ lsmod
Module                  Size  Used by
[..]
nf_tables             200704  0
[..]

pi@ph5b:~ $ modinfo nf_tables
filename:       /lib/modules/5.10.92+/kernel/net/netfilter/nf_tables.ko
alias:          nfnetlink-subsys-10
author:         Patrick McHardy <kaber@trash.net>
license:        GPL
srcversion:     88909CB365A49A17A4E5873
depends:        nfnetlink
intree:         Y
name:           nf_tables
vermagic:       5.10.92+ mod_unload modversions ARMv6 p2v8

Wachten... schreef op donderdag 18 augustus 2022 @ 11:52:
Misschien een belachelijke vraag voor de wat meer geavanceerde Linux gebruiker, maar hoe vaak en hoe snel updaten jullie de PiHole ?

En ik doel dan eigenlijk ook meer op alle apps die je op een Raspberry Pi hebt draaien.
Zijn er ook nog andere/makkelijkere manier om dit te managen? Nu doe ik maandelijks even inloggen op mijn Raspberry Pi, maar het is iedere keer wel even wat werk om alles na te lopen.

Is zoiets nog te automatiseren en zo ja is dit aan te raden?

deHakkelaar schreef op vrijdag 19 augustus 2022 @ 18:41:
[...]

Nog even ter verduidelijking, de meeste firewall's configureren de nf_tables Linux kernel module die voor de meeste distro's is meegecompileerd:
[...]
De ufw, iptables, nft, firewall-cmd etc tools zijn dus allen in staat om deze nf_tables module uit te lezen en te configureren.
https://wiki.nftables.org...x.php/What_is_nftables%3F

Wachten... schreef op vrijdag 19 augustus 2022 @ 18:37:
[...]


Dank je voor het meekijken. Dit was inderdaad de oplossing. Ik kan nu alles weer benaderen over VPN

[ Voor 17% gewijzigd door Raymond P op 19-08-2022 19:39 ]

Raymond P schreef op vrijdag 19 augustus 2022 @ 19:34:
[...]


Het is een oplossing. Als je het netjes wilt doen zorg je ervoor dat alleen traffic van je VPN routed mag worden.

Raymond P schreef op vrijdag 19 augustus 2022 @ 19:34:
Neemt niet weg dat als de materie nieuw voor je is dat je er goed aan doet gewoon direct de nieuwe manier/methode op te pakken.

pi@ph5a:~ $ readlink $(which iptables)
/etc/alternatives/iptables

pi@ph5a:~ $ readlink -f $(which iptables)
/usr/sbin/xtables-nft-multi

pi@ph5a:~ $ readlink $(which nft)
readlink: missing operand
Try 'readlink --help' for more information.

pi@ph5a:~ $ update-alternatives --display iptables
iptables - auto mode
  link best version is /usr/sbin/iptables-nft
  link currently points to /usr/sbin/iptables-nft
  link iptables is /usr/sbin/iptables
[..]

pi@ph5b:~ $ readlink $(which iptables)
readlink: missing operand
Try 'readlink --help' for more information.

pi@ph5b:~ $ readlink $(which nft)
pi@ph5b:~ $

pi@ph5b:~ $ readlink -f $(which nft)
/usr/sbin/nft

pi@ph5b:~ $ update-alternatives --display iptables
update-alternatives: error: no alternatives for iptables

pi@ph5a:~ $ lsmod
Module                  Size  Used by
[..]
nf_tables             200704  0
[..]
ip_tables              28672  0

[ Voor 17% gewijzigd door deHakkelaar op 19-08-2022 20:48 . Reden: Tjemig, fout op fout :D ]

pi@ph5b:~ $ apt policy iptables
iptables:
  Installed: (none)
  Candidate: 1.8.7-1

[ Voor 34% gewijzigd door deHakkelaar op 19-08-2022 21:01 ]

EDIT: Ow en de iptables toolstack en z'n IPv6 variant is nog steeds beschikbaar voor Bullseye:

[ Voor 36% gewijzigd door Raymond P op 19-08-2022 21:57 ]

Wachten... schreef op vrijdag 19 augustus 2022 @ 11:27:
[...]


Ja ik heb het dubbel gecheckt, ik heb 100% zeker de juiste poort ingevoerd.
Daarom dacht ik zelf ook dat het misschien ergens bij Pihole zou liggen, omdat hij dan geen DNS server kon vinden, maar ook dat staat goed (lijkt mij).

Dank dat je even wilt kijken vanavond.

@Raymond P Voor mij is het te nieuw en ik weet niet zo goed waar je het over hebt met iptables enz. Ik heb dit wel voorbij zien komen in de Pihole documentatie, maar ben daar nog niet genoeg in thuis ben ik bang.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

To                         Action      From
--                         ------      ----
51820/udp                  ALLOW       Anywhere                   # allow-wireguard
53 on wg0                  ALLOW       10.6.0.0/24
22/tcp                     ALLOW       Anywhere
DNS                        ALLOW       Anywhere
WWW                        ALLOW       Anywhere
68/udp                     ALLOW       Anywhere
67/udp                     ALLOW       Anywhere
8080                       ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
DNS (v6)                   ALLOW       Anywhere (v6)
WWW (v6)                   ALLOW       Anywhere (v6)
68/udp (v6)                ALLOW       Anywhere (v6)
67/udp (v6)                ALLOW       Anywhere (v6)
51820/udp (v6)             ALLOW       Anywhere (v6)              # allow-wireguard
8080 (v6)                  ALLOW       Anywhere (v6)

Anywhere on eth0           ALLOW FWD   10.6.0.0/24 on wg0

• chat.cdn.whatsapp.net
• g.whatsapp.net
• media-ams4-1.cdn.whatsapp.net
• media-ams2-1.cdn.whatsapp.net
• static.whatsapp.net
• web.whatsapp.net

Webgnome schreef op zaterdag 20 augustus 2022 @ 08:03:
@Wachten... ik gebruik zelf tot alle tevredenheid de volgende lijsten: https://github.com/blocklistproject/Lists#lists.

Om whatsapp door te laten dien je de volgende domeinen te whitelisten:

• chat.cdn.whatsapp.net
• g.whatsapp.net
• media-ams4-1.cdn.whatsapp.net
• media-ams2-1.cdn.whatsapp.net
• static.whatsapp.net
• web.whatsapp.net

[ Voor 34% gewijzigd door Wachten... op 20-08-2022 10:40 ]

Wachten... schreef op zaterdag 20 augustus 2022 @ 10:15:
[...]


Maar krijgt je met die lijsten niet een enorme aantal pagina's aan Blocklijsten, of komt z'n lijst als Facebook of TikTok als 1 regel in je blocklijst te staan?
Je krijgt gewoon netjes 1 regel te zien zie ik!

En wat is het verschil tussen "original" Noip en DNSMasq? Ik neem aan dat ik de original moet gebruiken?
Ik heb dus gewoon "original gebruikt"

Wel een handig overzichtje trouwens.

@Webgnome Weet jij ook hoe het werkt als je dubbele dingen erin zet qua blacklist?
Ik gebruik namelijk standaard altijd de https://dbl.oisd.nl lijst, maar als ik een andere lijst erin zet zoals de Ransomware lijst uit jouw link, en er staan al een aantal regels in die ook in de OISD lijst staan, krijgt dit dan conflicten o.i.d., of slaat hij deze dan gewoon over omdat die er al in staan?

Ik zag overigens een reactie waaruit zou blijken dat de lijst niet meer geupdate wordt.

GieltjE in "[Pi-Hole] Ervaringen & discussie"

[ Voor 8% gewijzigd door Webgnome op 21-08-2022 09:56 ]

Ike. schreef op donderdag 25 augustus 2022 @ 13:18:
Ik ben aan het rondkijken om binnenkort zelf Pi-Hole icm met een Raspberry Pi Zero 2 te gaan maken/ gebruiken.
Mijn voorkeur lijkt uit te gaan naar een Pi Zero 2 ipv. een Pi 3 of Pi 4 vanwege het lagere stroomverbruik en de prijs. ik zal de Pi nergens anders voor gaan gebruiken.

Het lijkt me het beste om de Pi met een ethernetkabel te verbinden.

Op internet kom ik 2 types micro USB -> ethernet kabels tegen, de standaard micro USB naar ethernet kabel en een micro USB naar ethernet met een extra USB2 kabel voor stroom, deze worden vooral aangeboden voor Chromecasts. Zou deze laatste kabel ook goed werken met een Pi Zero 2 of is het beter om de stroom en ethernet via 2 verschillende kabels te laten lopen?

[Afbeelding]

[ Voor 6% gewijzigd door Webgnome op 25-08-2022 14:39 ]