[13] Pi-hole – Ustawienia (Settings)
21 marca 2024System (System)
Menu [System] umożliwia dostęp do kart, w których możliwe jest skonfigurowanie działania i pracy systemu Pi-Hole. Pierwszą z nich jest karta [System] – została podzielona na dwa panele/sekcje. Pierwszy z nich – górny wyświetla informacje o FTL.
Zaś w dolnej części znajdziemy wiersz żółtych przycisków:
- Disable query logging – wyłącza logowanie zapytań,
- Flush network table – czyści tabelę sieciową; powoduje to usunięcie wszystkich zapisanych wpisów DNS związanych z urządzeniami klienta (opcja przydatna gdy chcemy oczyścić pamięć podręczną DNS),
- Restart DNS resolver – restartuje (uruchamia ponownie) usługę rozwiązywania nazw.
W dolnym wierszu znajdziemy czerwone przyciski:
- Flush logs (last 24 hours) – czyści logi z wpisów z ostatnich 24 godzin,
- Power off system – wyłącza system/hosta,
- Restart system – restartuje (ponowne uruchomienie) systemu/hosta.
DNS (DNS)
Opcje konfiguracji systemu DNS są możliwe do wykonania na karcie DNS. Wszystkie zmiany dokonane na tej karcie wymagają zatwierdzenia przyciskiem [Save] na dole strony!
W sekcji [Upstream DNS Servers] mamy możliwość skonfigurowania serwerów rozwiązywania nazw, z których korzystać będzie Pi-Hole. Pi-hole oferuje kilka opcji dostawców DNS (tzw. upstream DNS providers) podczas początkowej konfiguracji. Wybierasz jeden z tych dostawców lub wprowadzasz własny. Oto lista dostępnych dostawców:
- Google: domyślny dostawca DNS w Pi-hole.
- Adresy IP: 8.8.8.8 i 8.8.4.4.
- OpenDNS: oferuje funkcje takie jak blokowanie phishingu.
- Adresy IP: 208.67.222.222, 208.67.220.220, 2620:119:35::35 (IPv6) i 2620:119:53::53 (IPv6).
- Level3 DNS: nie filtruje treści, ale przekierowuje błędnie wpisane adresy URL do wyszukiwarki Level 3.
- Adresy IP: 4.2.2.1 i 4.2.2.2.
- Comodo Secure DNS: blokuje dostęp do szkodliwych witryn.
- Adresy IP: 8.26.56.26 i 8.20.247.20.
- WATCH: szybkie i bezcenzuralne rozwiązywanie nazw.
- Adresy IP: 84.200.69.80 i 84.200.70.40.
- Quad9: darmowa, bezpieczna i wydajna usługa DNS.
- Adresy IP: 9.9.9.9 i 149.112.112.112.
- CloudFlare DNS: nie rejestruje twojego adresu IP.
- Adresy IP: 1.1.1.1 i 1.0.0.1.
Mamy także możliwość skonfigurowania własnych serwerów rozwiązywania nazw – po dwa adresy dla IPv4 i IPv6. Wpisujemy je w odpowiednie pola oraz wybieramy zaznaczenie przy tych polach – jeśli zostały wpisane adresy serwerów.
W sekcji [Interface settings] możemy skonfigurować zachowanie interfejsów sieciowych:
- Recommended setting – wybranie tej opcji uprawnia do odpowiedzi tylko na zapytania lokalne,
- Potentially dangerous options
- Respond only on interface [nazwa interfejsu] – odpowiada tylko na interfejsie [nazwa interfejsu],
- Bind only to interface [nazwa interfejsu] – powiązanie tylko z interfejsem [nazwa interfejsu],
- Permit all origins – zezwala na wszystkie źródła zapytań.
Sekcja [Advenced DNS Settings].
- Never forward non-FQDN A and AAAA queries – zapytania inne niż A lub AAAA nie są przesyłane dalej. Pi-Hole może odpowiadać na zapytanie dotyczące adresów IP z dzierżaw DHCP, ale nie są one nigdy przekazywane dalej.
- Never forward reverse lookups for private IP ranges – nie przekierowuje zapytań wstecznych dla prywatnych klas adresów IP. więcej na temat prywatnych adresów możesz przeczytać w RFC6303: https://tools.ietf.org/html/rfc6303.
Włączenie powyższych dwóch opcji może zwiększyć prywatność, lecz może także uniemożliwić dostęp do lokalnych hostów po nazwie FQDN jeśli nie istnieją wpisy PTR. Rozwiązaniem może być użycie Pi-Hole także jako serwera DNCP.
- Use DNSSEC – weryfikuje i buforuje zapytania DNSSEC. Jeśłi walidacja domeny nie powiedzie się może wystąpić problem z działaniem usługi rozwiązywania nazw – nazwa nie zostanie po prostu rozwiązana.
- Rate-limiting – umożliwia ustawienie ograniczenie szybkości/ilości zapytań. Gdy klient wysyła zbyt wiele zapytań DNS zostaje ograniczona szybkość odpowiedzi na jego zapytania. Tutaj ustawia się limit ilości zapytań w czasie.
- Conditional forwarding – jeżeli Pi-Hole nie jest skonfigurowany także jako serwer DHCP może nie zwracać zapytań o nazwy hostów lokalnych. Należy znać adres IP serwera DHCP oraz adres sieci lokalnej i nazwę domeny lokalnej. Wpisanie tych wartości w odpowiednie pola rozwiązuje ten problem. Wtedy możliwe jest rozwiązanie nazw lokalnych – jak na przykład w czasie wyświetlania hostów w [Top Clients].
DHCP (DHCP)
Sekcja DHCP odpowiada za konfiguracje serwera DHCP, który przydzielać może adresy i inne ustawienia w sieci. Wszelkie dokonane zmiany należy zatwierdzić klikając przycisk [Save]!
W sekcji [DHCP Settings] włączamy lub wyłączamy działanie serwera DHCP. , dodatkowo w polach [From] oraz [To] określamy początkowy i końcowy zakres adresów IP możliwych do dzierżawienia. Pole [Router (gateway) IP address] określa przydzielaną bramę dla klientów DHCP.
Sekcja [Advanced DHCP settings] umożliwia skonfigurowanie nazwy domeny, w której dzierżawione mają być adresy IP – dokonujemy tego w polu [Pi-hole domain name]. Zaś pole [DHCP lease time] określa czas na jaki dzierżawiony jest adres IP przez klienta – wartości wyrażane są w godzinach.
Zaznaczenie opcji [Enable DHCPv4 rapid commit] umożliwia krótszą negocjację adresu pomiędzy klientem a serwerem.
Zaznaczenie opcji [Enable IPv6 support] włącza – jak nazwa wskazuje – wsparcie dla adresów IPv6.
Sekcja [Currently active DHCP leases] prezentuje w postaci tabeli wydzierżawione aktualnie adresy IP przez klientów. Dzierżawy są przedstawiane jako adres MAC – adres IP – nazwa hosta. Możliwe jest sortowanie według każdej z wymienionych kolumn. Wpisując jedną z tych wartości w pole [Search] możliwe jest wyszukanie odpowiedniego rekordu.
Możliwe jest także skonfigurowanie przypisania statycznych adresów IP dla konkretnego hosta – określonego za pomocą adresu MAC. Dokonać tego możemy w sekcji [Static DHCP leases configuration]. Wpisać w tym przypadku należy w pole [MAC address] adres MAC klienta któremu chcemy przydzielić konkretny adres IP, który to z kolei określamy w polu [IP address]. Możemy także wpisać nazwę hosta jaką chcemy przypisać do tego klienta/adresu MAC. Całość zatwierdzamy klikając na zielony znak [+].
Pamiętać należy o tym, że w danej sieci może pracować tylko jeden serwer DHCP – uznawany i zarejestrowany jako „autorytatywny”.
Interfejs zarządzania (Web interface)
Karta [Web interface] odpowiada za konfigurację szaty graficznej portalu zarządzania Pi-Hole.
Sekcja [Theme and Layout] umożliwia zmianę skórki/motywu wyświetlanego w panelu zarządzania. Zmiany należy zatwierdzić przyciskiem [Save].
Sekcja [Interface settings (auto saved)] Umożliwia zmianę jednostki wyświetlanej temperatury. Do wyboru mamy stopnie Celsjusza/Kelvina/Farenheita. Dodatkowo możemy skonfigurować:
- Checkbox and radio buttons – pola wyboru i przyciski,
- Use new Bar charts on dashboard – wybór nowoczesnego wyglądu wykresów,
- Colorful Query Log – dziennik wydarzeń w kolorze,
- Hide non-fatal dnsmasq warnings – ukrycie małoistotnych ostrzeżeń.
API (API)
Karta [API] odpowiada za to, co ma nie być wyświetlane w logach, na stronie głównej oraz we wszelakich listach „Top”. Wszystkie modyfikacje należy zatwierdzić przyciskiem [Save].
W polu [Top Domains / Top Advertisers] możemy wpisać (po jednej domenie w linii) domeny, które mają NIE być wyświetlane w listach „Top” dla domen i reklamodawców.
W polu [Top Clients] wpisujemy adresy IP lub nazwy hosta (po jednym w linii), które mają nie być pokazywane w/na liście [Top Clients].
Dwa pola wyboru odpowiadają za:
- Show permitted domain entries – pokazywane są dozwolone wpisy,
- Show blocked domain entries – pokazywane są zabronione wpisy.
Prywatność (Privacy)
Ustawień prywatności – pokazywania i logowania – tego o co pytają klienci dokonujemy właśnie na karcie [Privacy settings]. Wszelkie modyfikacje należy zatwierdzić przyciskiem [Apply].
Możliwe są cztery poziomy prywatności:
- Show everything and record everything – jak nazwa wskazuje pokazuje i rejestruje wszystko. Największa liczba statystyk.
- Hide domains – przechowuje i pokazuje wszystkie wpisy domen jako „ukryte”. Wyłączone zostają tabele [Top Allowed Domains] i [Top Blocked Domains].
- Hide domains and clients – wszystkie wpisy domen są wyświetlane i rejestrowane jako [hidden], zaś wpisy klientów jako [0.0.0.0]. Wyłączone zostają wszystkie tabele „Top”.
- Anonymous mode – wszystko jest wyłączone. Są jedynie wyświetlane anonimowe statystyki na żywo. W bazie danych nie jest zapisywana żadna historia i nic nie jest wyświetlane w dzienniku zapytań.
Teleporter (Teleporter)
Troszkę dziwnie nazwana opcja/możliwość wykonywania i przywracania kopii zapasowej – no ale cóż… W tym miejscu można wykonać kopię zapasową piole, a także przewrócić ją z pliku.
Sekcja [Backup] jest bardzo prosta. Jeżeli mamy chęć czy też potrzebę wykonania kopii zapasowej klikamy na przycisk [Backup] i to wszystko. Plik zostanie zapisany w domyślnym miejscu na komputerze lokalnym dla pobieranych plików.
Sekcja [Restore] to już troszkę inna bajka. Ram mamy możliwość wyboru tego co chcemy przywrócić z zapisanej uprzednio kopii zapasowej. Odpowiadają za to odpowiednie pola wyboru. Należy zaznaczyć to co chcemy przywrócić, a odznaczyć to czego nie chcemy przywrócić. Domyślnie zaznaczone jest wszystko. Następnie klikając na przycisk [Browse] wskazujemy plik z poprzednio wykonaną kopią zapasową.
Jeśli chcemy wyczyścić istniejące dane na obecnym Pi-Hole w czasie procesu przywracania należy zaznaczyć pole wyboru [Clear existing data], w przeciwnym wypadku powinno zostać odznaczone. Następnie klikamy przycisk [Restore].
Proces przywracania z kopii zapasowej można uznać za zakończony pomyślnie jeśli wyświetlony zostanie komunikat [Done importing].