Hagezi Blocklist DNS

Chippelchen · 3. Mai 2023 um 08:59

Hey,
ich bin durch verschiedene Empfehlungen auf
https://github.com/hagezi/dns-blocklists
gestoßen.

Frage: hat jemand von euch die Liste im Einsatz? Ich tu mich aktuell sehr schwer die richtige auszuwählen, die ich mit NextDNS nutzen soll. Welche von denen habt ihr genommen und wieso?

thomasmerz · 3. Mai 2023 um 12:51

So ein Zufall! Ich bin heute auch darüber gestolpert, da ich mit HaGeZi schon ein paar Mal „was zu tun“ hatte und die „Enyrypted DNS/VPN/TOR/Proxy Bypass DNS Blocklist“ im Einsatz hatte, die er aber auf das „Adblock“ Format umgestellt und damit auch den Pfadnamen geändert hat und daher mein alter Link ins Nirwana zeigte.

Ich habe mir heute mal in meinen Pi-hole in meine „test-group“ folgende Listen gezogen:

HaGeZi’s Badware Hoster DNS Blocklist
HaGeZi’s Anti-Piracy DNS Blocklist
HaGeZi’s Apple Tracker DNS Blocklist
HaGeZi’s Windows/Office Tracker DNS Blocklist
HaGeZi’s TikTok Fingerprinting DNS Blocklist

Als Upstream-DNS-Resolver verwende ich:

PIHOLE_DNS_1=45.90.28.39
PIHOLE_DNS_2=45.90.30.39
PIHOLE_DNS_3=94.140.14.14
PIHOLE_DNS_4=94.140.15.15
PIHOLE_DNS_5=193.110.81.9
PIHOLE_DNS_6=185.253.5.9

NextDNS, AdGuard mit Werbe- und Trackingfilter und DNS.EU-Zero - wobei ich von letzterem nicht sooooo angetan bin, weil die zum einen blind alle DynDNS blocken und ich meine Nextcloud über einen DynDNS laufen habe, aber mit (m)einem Workaround leben kann. Ausgesucht habe ich meine Resolver nach:

notamused · 3. Mai 2023 um 13:05

Hat AdGuard eigentlich eigene Filterlisten?

thomasmerz · 3. Mai 2023 um 13:41

Ja: https://github.com/AdguardTeam/AdguardFilters - aber das sind sicher nicht alle. Oder doch?!

Bzw. kann man deren Public-DNS auch ohne Kunde-sein kostenlos nutzen (ob dann auch ein 300k Query-Limit greift? mir ist das bisher nicht aufgefallen bei täglich 80k lokalen Anfrage zuhause, von denen ja widerum nur ein Bruchteil tatsächlich rausgeht…)

Bit · 3. Mai 2023 um 17:37

3 Beiträge wurden in ein existierendes Thema verschoben: Best-Practice: mehrere Services auf einem Server

M-u-m-p-i-t-z · 3. Mai 2023 um 17:55

Ich nutze die ultimate Liste mit über 2 Millionen Einträgen auf dem Router (einer Ipfire mit dem dns_blockliste.sh Script aus dem blog) und auf dem Smartphone in Adaway.

Chippelchen · 3. Mai 2023 um 18:37

Ich sprach eigentlich von den gängigen, wie:
Light, normal, pro, pro++ und ultimate.

Nutzt ihr eine von denen oder mehrere? Was hat euch bewegt die von euch genannte zu nutzen?

thomasmerz · 3. Mai 2023 um 20:24

@Chippelchen

Meine Motive:
Ich will mich und meine Familie vor absichtlichem und unabsichtlichem Anklicken vor bösartiger Software/Raubkopien und Trackern, die für Apple-Geräte sowie Microsoft-Windows und -Office typisch sind, sowie TikTok „schützen“.

Kurz: alles was man im Normalfall wirklich nicht braucht oder gar haben will, soll weg bleiben!

notamused · 4. Mai 2023 um 13:43

Ich verstehe die Formatierung von Filter- bzw. Blocklisten nicht. Wann muss man denn bspw. 0.0.0.0 davor setzen und wann nicht. Welche Formate gibt es denn und welches Format müssen die Listen für welche Geräte (Browser, Fritzbox, NetGuard usw.) haben? Kann da vielleicht jemand etwas Erhellendes dazu sagen?

thomasmerz · 5. Mai 2023 um 09:20

Das kommt drauf an, welche Lösung du nutzt und was diese Lösung unterstützt. Pi-hole kann z.B. sowohl mit „0.0.0.0“ als auch ohne umgehen und obendrein wird seit einiger Zeit das Adblock-Format unterstützt, das wieder etwas anders aussieht.

notamused · 5. Mai 2023 um 15:06

Genügt, es die Domain zu blocken oder muss man sämtliche Subdomains eintragen?

thomasmerz · 7. Mai 2023 um 14:53

Ich kenne nur den Pi-hole gut genug, um dir zu antworten, dass dort entweder ganz genau „host.domain.com“ im Hostformat oder „Domain“ im Adblockformat angegeben werden muss.

notamused · 7. Mai 2023 um 21:33

Welche Formate bzw. Filterregeln gibt es denn?
Ich habe schon die folgenden gesehen:

domain.de
sub.domain.de
https://domain.de
https://sub.domain.de
0.0.0.0 domain.de
0.0.0.0 sub.domain.de

Leider weiss ich nicht, welche wo richtig ist.
In der Fritzbox gelten (glaube ich) domain.de und sub.domain.de

thomasmerz · 8. Mai 2023 um 07:27

Pi-hole hat bis vor einiger Zeit ausschliesslich das Host- oder Domain-Format genutzt:
domain.de
sub.domain.de
bzw.
0.0.0.0 domain.de
0.0.0.0 sub.domain.de

Beides funktioniert - aber falls du warum auch immer auf die Idee kommst in deiner /etc/hosts etwas einzutragen: das geht nur so:
0.0.0.0 trackingsite.com
0.0.0.0 evil.trackingsite.com

Das Adblock-Format ist etwas anders und mächtiger und kann auch ganze Domains ohne Angabe von Subdomains blocken:

||youtubez.com^

Wenn du z.B. einige Subdomains, aber nicht alle blocken willst, dann musst du weiterhin jede Subdomain einzeln angeben:

…
||d135re68iqn9un.cloudfront.net^
||d1ai2z1erj0mzw.cloudfront.net^
||d1bshntecis4nt.cloudfront.net^
||d1cu1v8rtmkdap.cloudfront.net^
…