Bonjour j’ai installer adguard home sur une debian 11 i386. Il fonctionne en serveur DHCP. Jusqu’ici tout va bien.
je recherche une solution pour forcer tout le traffic à passer par adguard home, même si des DNS sont paramétrer sur un os. Pour le moment, il suffit de modifier les DNS sur l’os pour contourner adguard home.
De plus je déplace souvent mon PC portable qui a ses DNS configuré dessus. Du coup je serai obligé d’enlever la config DNS dans mon OS quand je rentre, et de la remettre quand je sors. C’est fastidieux.
J’ai fait pas mal de recherche, mais je ne trouve pas vraiment de solution. Il semble que l’utilisation d’iptables pourrait faire quelque chose… mais j’avoue que ça commence à me dépasser, je ne sais plus trop quoi chercher.
Bonjour PascalHambourg, merci de l’interêt que tu portes à ma demande.
Adguard AdGuard Home | Logiciel pour l’ensemble du réseau et tout système d’exploitation: Windows, macOS et Linux Son Rôle est de filtrer les pubs, malwre, spyware, contrôle parental…
Il est configurer pour être aussi mon serveur DHCP. Il se connecte avec les DNS cloudflare antimalware.
Bien qu’il soit serveur DHCP et que tout les materiels du réseau se connecte à lui pour obtenir une adresse ip, si on configure les DNS sur un os, le filtrage DNS et le contrôle parental sont contournéS.
Non, pas vraiment. Par exemple se place-t-il en coupure entre le réseau local et internet ?
Et que fait-il concrètement ? En soi, un serveur DHCP ne protège contre rien du tout. C’est un proxy web filtrant, un relais DNS, autre chose ? J’ai l’impression que c’est seulement un relais DNS, peut-être filtrant. Pour forcer les appareils du réseau à passer par lui pour la résolution DNS, il n’y a pas 50 façons :
bloquer les requêtes DNS vers internet qui ne viennent pas de lui
ou rediriger vers lui les requêtes DNS qui ne viennent pas de lui
mais cela ne peut se faire que sur un équipement qui est en coupure entre le réseau local et internet. Et c’est sans effet sur les équipements ou logiciels qui utilisent d’autres protocoles que DNS pour la résolution de nom, comme DoH (DNS over HTTPS) qui est supporté notamment par le navigateur Firefox.
Bonsoir,
A priori AdGuard n’est ni plus ni moins qu’un antimalware, antiphishing, etc…
encore un de ces produit miracle, mais qui utilise des serveurs dont certains ne relèvent pas de la RGPd
documentation très succinte pour ne pas dire inexistante.
ca me fait penser au (presque) défunt AdAware.
Pour configurer le DNS sur ton poste client, autant que ce soit la configuration DHCP qui fournisse le(s) DNS aux clients.
Adguard home est un équivalent de Pi hole. C’est un bloqueur de pub, de malware phishing, traqueur aussi… Le contrôle parental est très efficace… pour tout le réseau et appareil. C’est Open source et gratuit et transparent dans son utilisation, de la doc pour les installations et le paramétrage il y en a pas mal. Je ne trouve pas seulement comment empêcher le bypass en paramétrant le DNS sur l’os.
Je n’y vois pas un « produit miracle », mais en le testant depuis peu je commence à lui trouver pas mal d’avantage en complément d’autre solutions antipub.
C’est bien le serveur DHCP de adguad home qui fourni les DNS aux clients, configurer de cette manière il me permet de contourner la box.
AdGuard Home fonctionne comme un serveur DNS qui redirige les domaines de suivi vers un « trou noir », empêchant ainsi vos périphériques de se connecter à ces serveurs. Je l’utilise en serveur Dhcp ne pouvant pas paramétrer les DNs sur la box
je pense que c’est bien ça que je cherche à faire
Quel serait la marche à suivre ?
c’est installé sur un vieux pc portable branché en Ethernet sur la box. En yous cas je souhaite qu’il gère vraiment les connexions.
il y a bien dette option dans AgH activée : « Si le chiffrement est activé, l’interface administrateur AdGuard Home fonctionnera via HTTPS et le serveur DNS écoutera les requêtes via DNS-over-HTTPS et DNS-over-TLS. »
Non le logiciel n’est ni open source, ni logiciel libre.
Open source implique que les sources sont accessible pour tout utilisateur, ici ce n’est pas le cas.
Il suffit de lire les conditions de licence (d’ailleurs ça s’appelle un EULA, c’est dire).
en plus la société est à Chypre, un paradis fiscal, qui ne respecte pas la RGPD, et j’en passe.
Si on se réfère à l’histoire récente, c’est un logiciel du même genre que AdAware. d’ici à ce qu’il suffise de payer pour ne pas être détecté il n’y a qu’un pas.
Il y a quelque peu confusion des genres.
DHCP n’est pas un DNS, il n’a rien à voir, même si un serveur DHCP peut mettre à jour des enregistrement DNS et fourni la configuration DNS aux clients.
par ailleurs, bloquer un DNS n’empêche pas de se connecter aux sites, c’est faux. Il empêche juste de résoudre le nom du site. Il suffit d’aller sur un DNS public pour contourner facilement.
très bien. Le fait est que je teste en ce moment cette solution, que j’y trouve de l’intérêt. C’est Open source et ça ne collecte pas mes données, ça me va.
Ceci étant dit, je suis vraiment sur une recherche à ma problématique, qui est si on modifie les dns sur l’os, on contourne.
Du coup la debian devrait rediriger tout le trafic vers adguard home. J’apprensds plein de nouvelle ,otion depuis plus d’une semaine sur les serveurs, et là je sais plus trop où aller.
Exactement. Le seul moyen c’est que ton parefeu bloque les requetes DNS qui ne vont pas sur ta plate-forme. cependant, ce n’est pas si simple car l’utilisation de DNS over HTTPs permet de contourner cette fonctionnalité.
A la base ça utilise Quad9, c’est moi qui est mis les dns cloudflare anti malware qui me paraissait bien depuis que je les utilise. Je ne savais pas qu’ils collectaient les données.
j’avais commencer à chercher par là, le parefeu de la box peut faire ça ? un parefeu sur la debian ? Comment configurer.
Sinon les nat et iptables ne serait pas une piste intéressante ? Ou un upstream server ?
Aucune idée, je n’ai jamais utilisé de box. Peu probable. Mais il faut regarder, on ne sait jamais, et ça dépend du type de box.
Quelle Debian ? Celle qui n’est pas en coupure entre la box et le LAN ? Ça n’aura aucun effet. Pour qu’un équipement puisse filtrer quelque chose, il faut que les flux passent obligatoirement par celui-ci.
Une machine avec deux interfaces. Une interface connectée à la box, un autre (ou un pontage entre une interface wifi et une interface ethernet) connectée au réseau local. Aucune autre machine connectée en direct (ethernet ou wifi) à la box. Sur cette machine, routage avec ip_forward et filtrage avec iptables.
si je comprends bien, les autres machines seraient connectées en wifi à la machine 1 en coupure entre le réseau local et la box ? et plus aucunes connectées en wifi à la box ? C’est bien l’idée d’un upstream server ?
Je ne sais pas ce qu’est un « upstream server » mais pour le reste, oui.
Je répète : nécessaire seulement si la box ne permet pas de faire ce filtrage elle-même.
Il y a une autre possibilité moins contraignante mais moins sûre : définir l’adresse de la machine filtrante comme passerelle/routeur dans le serveur DHCP à la place de l’adresse de la box. Mais cela n’empêchera pas un appareil d’être configuré en statique avec l’adresse de la box comme passerelle.
