Servidores de DNS e Filtros de Internet

Pessoal, estou criando este tópico para dar continuidade nas discussões do tópico original lá do finado HTForum chamado "[TÓPICO DEDICADO] Controle dos pais + Segurança na Web" originalmente criado pelo @PoloNes.

Mudei um pouco o título do tópico original para torná-lo mais genérico. Tinha iniciado esse tópico também no Adrenaline, mas como aqui é nossa nova casa penso em continuarmos aqui.

Apenas para constar no post inicial como referência, listo abaixo alguns dos servidores DNS mais conhecidos.

O conteúdo do tópico original (inclusive detalhes das configurações dos filtros que o @PoloNes havia documentato) está arquivado em https://web.archive.org/web/20200824165609/https://www.htforum.com/forum/threads/topico-dedicado-controle-dos-pais-seguranca-na-web.277960/


Google DNS:
8.8.8.8 / 8.8.4.4​
2001:4860:4860::8888 / 2001:4860:4860::8844​
https://developers.google.com/speed/public-dns/docs/using​

OpenDNS:
208.67.222.222 / 208.67.220.220​
2620:119:35::35 / 2620:119:53::53​
​
Family Shield: 208.67.222.123 and 208.67.220.123​
​
https://use.opendns.com/​
https://www.opendns.com/about/innovations/ipv6/​

Cloudfare:
1.1.1.1 / 1.0.0.1​
2606:4700:4700::1111 / 2606:4700:4700::1001​
https://1.1.1.1/dns​

Cleanbrowsing:

Family Filter​
IPv4 address: 185.228.168.168 and 185.228.169.168​
IPv6 address: 2a0d:2a00:1:: and 2a0d:2a00:2::​
​
Adult Filter​
IPv4 address: 185.228.168.10 and 185.228.169.11​
IPv6 address: 2a0d:2a00:1::1 and 2a0d:2a00:2::1​
​
Security Filter​
IPv4 address: 185.228.168.9 and 185.228.169.9​
IPv6 address: 2a0d:2a00:1::2 and 2a0d:2a00:2::2​
https://cleanbrowsing.org/ip-address​
​
Quad9:
IPv4: 9.9.9.9, 149.112.112.112​
IPv6: 2620:fe::fe, 2620:fe::9​
https://www.quad9.net/faq/​
​
Sobre filtros, é possível com uma configuração de DNS forçar as pesquisas restritas ("SafeSearch") no Google, Bing, YouTube. Mais detalhes nos sites abaixo:

• Artigo sobre como forçar o filtro no Google/YouTube/Bing: https://support.opendns.com/hc/en-u...-Enforcing-Google-SafeSearch-YouTube-and-Bing
  
• Artigo específico para forçar o Google SafeSearch em todos computadores da rede: https://support.google.com/websearch/answer/186669
  
• Artigo específico para o Bing: http://help.ads.microsoft.com/apex/index/18/en-US/10003
  

Sobre o bloqueio de propagandas em todos os dispositivos da rede (bloqueia inclusive propagandas em aplicativos de celular "freemium"), eu uso e recomendo a utilização do "PiHole". Eu utilizo o mesmo num Raspberry Pi, mas pode ser instalado em outras plataformas. Mais detalhes abaixo:

https://pi-hole.net/


Apenas para referência, abaixo os tempos de PING utilizando a Internet da Claro/NET/Virtua em Porto Alegre. É possível observar que os pings do CleanBrowsing e Quad9 são bem mais demorados, possivelmente devido ao fato de que esses serviços não possuem servidores no Brasil:

--------------------------------------------------
Google:
--------------------------------------------------
Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=29ms TTL=115
Reply from 8.8.8.8: bytes=32 time=26ms TTL=115
Reply from 8.8.8.8: bytes=32 time=30ms TTL=115
Reply from 8.8.8.8: bytes=32 time=26ms TTL=115

--------------------------------------------------
OpenDNS:
--------------------------------------------------
Pinging 208.67.222.222 with 32 bytes of data:
Reply from 208.67.222.222: bytes=32 time=42ms TTL=54
Reply from 208.67.222.222: bytes=32 time=35ms TTL=54
Reply from 208.67.222.222: bytes=32 time=35ms TTL=54
Reply from 208.67.222.222: bytes=32 time=31ms TTL=54

--------------------------------------------------
Cloudfare:
--------------------------------------------------
Pinging 1.1.1.1 with 32 bytes of data:
Reply from 1.1.1.1: bytes=32 time=33ms TTL=54
Reply from 1.1.1.1: bytes=32 time=38ms TTL=54
Reply from 1.1.1.1: bytes=32 time=26ms TTL=54
Reply from 1.1.1.1: bytes=32 time=28ms TTL=54

--------------------------------------------------
Cleanbrowsing:
--------------------------------------------------
Pinging 185.228.168.9 with 32 bytes of data:
Reply from 185.228.168.9: bytes=32 time=154ms TTL=49
Reply from 185.228.168.9: bytes=32 time=152ms TTL=49
Reply from 185.228.168.9: bytes=32 time=178ms TTL=49
Reply from 185.228.168.9: bytes=32 time=158ms TTL=49

--------------------------------------------------
Quad9:
--------------------------------------------------
Pinging 9.9.9.9 with 32 bytes of data:
Reply from 9.9.9.9: bytes=32 time=181ms TTL=53
Reply from 9.9.9.9: bytes=32 time=168ms TTL=53
Reply from 9.9.9.9: bytes=32 time=162ms TTL=53
Reply from 9.9.9.9: bytes=32 time=163ms TTL=53

Bela iniciativa, valeu!

O serviço de DNS que estou utilizando há alguns meses é o NextDNS: https://nextdns.io

É um serviço pago, mas possui um nível gratuito de 300.000 queries mês. Acima desse limite, o serviço é interrompido até o fechamento do mês e restaurado no mês seguinte. De toda forma, pela quantidade de recursos oferecidos, é um serviço relativamente barato, custando R$ 7,50 por mês. 

O NextDNS é equivalente a um servidor Pi-hole hospedado nas nuvens, só que melhor. A minha única ressalva em relação ao NextDNS, é pelo serviço não oferecer recurso de regex e por não permitir uma lista própria customizada de bloqueio. 

No meu dia-a-dia, utilizo o NextDNS em conjunto com o Pi-hole (por causa do regex, pela lista customizada e pelo cache local que diminui a latência e os queries) e com "dnscrypt-proxy". 

Em relação ao ping, o NextDNS possui servidor no Brasil. Na minha localidade e utilizando uma conexão Velox 35mb, o ping varia entre 50 e 55ms.

Estou testando o CloudFlare Teams. Dá para customizar os filtros, e funciona via IPv6 sem necessidade do cliente atualizar o IP via DDNS (necessário para IPv4, usava o DNSOMatic com o OpenDNS).

O dashboard é bem legal, e o ping é rápido. Até agora tenho gostado!

https://dash.teams.cloudflare.com/

dsouza escreveu:Estou testando o CloudFlare Teams. Dá para customizar os filtros, e funciona via IPv6 sem necessidade do cliente atualizar o IP via DDNS (necessário para IPv4, usava o DNSOMatic com o OpenDNS).

O dashboard é bem legal, e o ping é rápido. Até agora tenho gostado!

https://dash.teams.cloudflare.com/

Eu testei o CloudFlare Teams logo quando foi lançado, mas não gostei dos resultados. O ping ficava em torno de 100 a 150ms. Como está o ping aí para você?

Está usando em conjunto com o Pi-hole? No meu caso, desativo o IPv6 no OpenWrt (modem em bridge + OpenWrt em PPPoE), pois o Pi-hole não lida bem com IPv6 e deixa passar alguns bloqueios.

D'oh! escreveu:Eu testei o CloudFlare Teams logo quando foi lançado, mas não gostei dos resultados. O ping ficava em torno de 100 a 150ms. Como está o ping aí para você?

Está usando em conjunto com o Pi-hole? No meu caso, desativo o IPv6 no OpenWrt (modem em bridge + OpenWrt em PPPoE), pois o Pi-hole não lida bem com IPv6 e deixa passar alguns bloqueios.

O ping está bom (entre 30 a 40ms), aparentemente tem servidores no Brasil.

Estou usando sim com o Pi-Hole, e com IPv6 funciona de boa no OpenWRT (estou usando temporariamente o OpenWRT num roteador mais simples para fazer troubleshooting de um problema do meu roteador Synology).

O OpenWRT é de fato meio "chato" de alterar o DNS, no Synology era mais simples.

No PiHole bastou apontar para o DNS da CloudFlare (estou usando apenas IPv6 para que o filtro customizado funcione - obfusquei o IPv6 do DNS na imagem abaixo pois entendo que esse IP é o DNS customizado do CloudFlare para minha conta com minha configuração de filtros):



No OpenWRT tem duas opções: distribuir o endereço IP do PiHole via DHCP ou alterar o DNS da WAN apontado para o PiHole. Em ambos os casos tem que colocar o IPv4 e IPv6 do PiHole. Por simplicidade estou usando o IPv6 local do PiHole (aquele que começa com fe80::...).

Na primeira opção, caso você queira distribuir o endereço DNS do PiHole via DHCP usando a interface gráfica (aka LuCI), tem que configurar tanto os IPv4 e IPv6 do PiHole no OpenWRT. Isso é feito indo no menu "Network -> Interfaces", na interface "LAN" clicar em "Edit", ir na tab "DHCP Server", e em "DHCP Options" digitar "6,x.x.x.x", onde o x.x.x.x deve ser o IPv4 do PiHole (ver abaixo um exemplo):



O endereço do IPv6 do PiHole deve ser configurado na tab "IPv6 Settings" nesse mesmo lugar na opção "Announced DNS servers", exemplo abaixo:



A mesma coisa acima pode ser feita via SSH com os comandos abaixo (trocando x.x.x.x e yyyyy::yyyyy respectivamente pelos endereços IPv4 e IPv6 do PiHole[/b]):

Código:


uci -q delete dhcp.lan.dhcp_option
uci add_list dhcp.lan.dhcp_option="6,x.x.x.x"
 
uci -q delete dhcp.lan.dns
uci add_list dhcp.lan.dns="yyyy::yyyy"
 
uci commit dhcp
/etc/init.d/dnsmasq restart
/etc/init.d/odhcpd restart


A outra opção é deixar o OpenWRT como DNS server default distribuído via DHCP (que é o padrão), porém alterando as configurações da WAN trocando o DNS oferecido pela operadora pelo DNS desejado. Até onde pude pesquisar isso só pode ser feito via SSH com os comandos abaixo, trocando x.x.x.x e yyyyy::yyyyy respectivamente pelos endereços IPv4 e IPv6 do PiHole:

Código:


uci -q delete network.wan.dns
uci add_list network.wan.dns="x.x.x.x"

uci -q delete network.wan6.dns
uci add_list network.wan6.dns="yyyy::yyyy"

uci set network.wan.peerdns="0"
uci set network.wan6.peerdns="0"

uci commit network
/etc/init.d/network restart


Mais informações sobre as linhas de comando em https://openwrt.org/docs/guide-user/base-system/dhcp_configuration

O ping está bom (entre 30 a 40ms), aparentemente tem servidores no Brasil.

Estou usando sim com o Pi-Hole, e com IPv6 funciona de boa no OpenWRT (estou usando temporariamente o OpenWRT num roteador mais simples para fazer troubleshooting de um problema do meu roteador Synology).

O seu ping está realmente muito bom. Pode ser que quando testei, pois na época ainda estava em fase inicial de lançamento, estivesse sofrendo de alguma inconsistência que possa ter sido corrigido posteriormente. Irei testar novamente utilizando a ferramenta DNS Benchmark: https://www.grc.com/dns/benchmark.htm .

O OpenWRT é de fato meio "chato" de alterar o DNS, no Synology era mais simples.

No PiHole bastou apontar para o DNS da CloudFlare (estou usando apenas IPv6 para que o filtro customizado funcione - obfusquei o IPv6 do DNS na imagem abaixo pois entendo que esse IP é o DNS customizado do CloudFlare para minha conta com minha configuração de filtros):

A minha configuração é um pouco diferente da sua. Você utiliza o endereço IPv6 do CloudFlare diretamente no campo Upstream DNS Server do Pi-hole. No meu caso, realizo o upstream através de um endereço IP local. Para isso, utilizo o software DNSCrypt-Proxy, pois, apesar do Pi-hole suportar DNSSEC, o mesmo não possui suporte nativo para as criptografias DNS-over-HTTPS (DoH) e DNSCrypt: https://github.com/pi-hole/pi-hole/wiki/DNSCrypt-2.0 . Ou seja, sem criptografia, as consultas de DNS podem ser interceptadas por algum bisbilhoteiro e não é isso que eu quero.



Ainda em relação ao IPv6, de um modo geral, o bloqueio até funciona. Mas se for necessário realizar alguma configuração mais avançada - que é o meu caso, a coisa toda começa a despingolar. Sendo mais claro, por exemplo, a maioria dos dispositivos Android não fornecem suporte necessário para que se possa configurar um endereço IPv6 estático pelo roteador. Sendo assim, ao criar grupos no Pi-hole onde cada agrupamento tem que seguir determinadas regras de bloqueio, mas que não são aplicadas de um modo geral, o bloqueio irá falhar. Isso acontece toda vez que a conexão do dispositivo for reiniciada, pois o endereço IPv6 sempre irá mudar e o Pi-hole ainda não trás recursos que atualize automaticamente o IPv6 em relação aos grupos. Existe até um esforço dos desenvolvedores para implementar o recurso de bloqueio por MAC address, onde esse problema praticamente seria resolvido: https://discourse.pi-hole.net/t/feedback-for-allow-defining-clients-by-their-mac-address-host-name-and-networking-interface/32324 .
 

No OpenWRT tem duas opções: distribuir o endereço IP do PiHole via DHCP ou alterar o DNS da WAN apontado para o PiHole. Em ambos os casos tem que colocar o IPv4 e IPv6 do PiHole. Por simplicidade estou usando o IPv6 local do PiHole (aquele que começa com fe80::...).

Utilizo, simultaneamente, ambas opções. Como utilizo o roteador no modo PPPoE, isso garante que as consultas enviadas por algum dispositivo rebelde, isto é, que tenta burlar o endereço DNS enviado para o dispositivo através do DHCP, faça consultas diretamente a interface WAN do roteador que tem o DNS fornecido pela operadora. Para evitar que alguns dispositivos ignorem o endereço DNS fornecido pelo DHCP e utilizem outros próprios, ainda utilizo uma regra de firewall para redirecionar todas as consultas da porta 53 para a porta 53 na lan do roteador.

OpenWrt > dhcp

Código:

config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'
        # option ra_management '1'
        list dhcp_option '6,192.168.xxx.xxx' # DNS Pi-hole (Editado)
        # list dhcp_option '6,8.8.8.8,8.8.4.4'  # Para teste
        # list dns 'fd09:ddc8:0000:0:0000:0000:0000:0000' # IPv6 DNS Pi-hole (Editado)

OpenWrt > network

Código:

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'pppoe'
        option username 'oi@oi'
        option password 'oioioi'
        option peerdns '0'
        option ipv6 '0'
        option dns '192.168.xxx.xxx' # DNS Pi-hole (Editado)
        # option dns '8.8.8.8 8.8.4.4' # Para teste

OpenWrt > firewall

Código:

config redirect
        option name 'Force-DNS'
        option src 'lan'
        option src_ip '!192.168.xxx.xxx' # DNS Pi-hole (Editado)
        option src_dport '53'
        option dest 'lan'
        option dest_port '53'
        option proto 'tcp udp'
        option target 'DNAT'
        option enabled '1'

Eis aqui um pequeno teste de DNS para comparação.

Pessoal, que DNS posso utilizar diretamente no Android ou no router para bloquear esse caminhão de publicidade (até não ter um pihole)? Conheço o Adguard... Mas tem outros?

Se usar o da cloudfare por ex, ele faz isso?

Agradeço.

FccPessoal, que DNS posso utilizar diretamente no Android ou no router para bloquear esse caminhão de publicidade (até não ter um pihole)? Conheço o Adguard... Mas tem outros?

Se usar o da cloudfare por ex, ele faz isso?

Agradeço.

Para ser sincero, nunca testei o Adguard.  Existia uma discussão na internet se o serviço oferecido era realmente seguro e tal, pois tratava-se de um empresa localizada na Rússia, então, com toda a minha paranóia, não quis arriscar. Atualmente, não sei como ficou essa questão.

Acho que você pode tentar o Cloudflare for Teams (https://www.cloudflare.com/teams-gateway/) ou o NextDNS (https://nextdns.io), sendo o segundo o meu preferido. Dependendo da sua necessidade, pode até ser substituto a altura em comparação ao Pi-hole.

Obrigado,

testando o nextdns no windows para ver se depois coloco o dns no router....ele bloqueou o mercado livre kkkkk......fui tentar acessar a nada...tive que liberar manualmente.

Meu objetivo é otimizar a navegação bloqueando essa bando de anúncios que por vezes são insuportáveis.

testando o nextdns no windows para ver se depois coloco o dns no router....ele bloqueou o mercado livre kkkkk......fui tentar acessar a nada...tive que liberar manualmente.

Realmente, ele está bloqueando o Mercado Livre, mas é um falso positivo já relatado por mim. Isso acontece devido o NextDNS, além de averiguar o domínio principal, também verificar as entradas CNAME do domínio. Neste caso, o NextDNS faz uso da api do Google Safe Browsing que está classificando uma entrada CNAME no domínio do Mercado Livre como inseguro. https://github.com/nextdns/metadata/issues/362

Quando instala o app no ipad, ele cria uma VPN é isso mesmo? Fica o ícone la de VPN...nao seria melhor colocar os DNS nas configurações de wifi diretamente ou não faz diferença?

Quando instala o app no ipad, ele cria uma VPN é isso mesmo? Fica o ícone la de VPN...nao seria melhor colocar os DNS nas configurações de wifi diretamente ou não faz diferença?

Sim, irá criar uma conexão VPN com criptografia. Para configurar o DNS diretamente, você precisa utilizar os endereços IPv6 que estão na aba "Endpoints" da página de instalação do NextDNS. Veja que escrevi IPv6, e não os endereços IPv4, pois o último precisa de um dispositivo para atualizar (vincular) o endereço IP fornecido pela operadora, tipo um cliente DDNS, e para o IPv6 não é necessário.


Creio que devido as restrições da Apple e da Google, não seja possível criar um aplicativo que altere diretamente o DNS, por isso é utilizado uma conexão VPN. Nessa situação, o aplicativo veio para facilitar. 

Benchmark via Claro Internet Fixa (NET Virtua) em Porto Alegre:

D'oh! escreveu:(...)Cloudflare for Teams (https://www.cloudflare.com/teams-gateway/) ou o NextDNS (https://nextdns.io), sendo o segundo o meu preferido. Dependendo da sua necessidade, pode até ser substituto a altura em comparação ao Pi-hole.(....)

@D'oh!, estou pensando em testar o NextDNS. Isso porque tive que voltar para o OpenDNS, pois por algum problema de roteamento o IPv6 do CloudFlare for Teams ficou alto (~150ms), e apesar do IPv4 continuar bom não conseguir fazer a configuração do DNS'o'Matic para atualizar meu IPv4 público automaticamente no CloudFlare.

Com isso dito uma pergunta: você está pagando pelo NextDNS ou o número de queries mensais fica abaixo de 300K? É que no meu caso acho que ultrapassará 300K fácil (o PiHole mostra uma médica de 50K consultas/dia...).

dsouza
Benchmark via Claro Internet Fixa (NET Virtua) em Porto Alegre:

Esse benchmark é realizado por algum aplicativo, comando ou script? Se afirmativo, qual? Gostaria de testar?

dsouza escreveu:Com isso dito uma pergunta: você está pagando pelo NextDNS ou o número de queries mensais fica abaixo de 300K? É que no meu caso acho que ultrapassará 300K fácil (o PiHole mostra uma médica de 50K consultas/dia...).

Estou usando há quase três meses, mas nunca ultrapassei o nível gratuito. Minha média diária de queries é 5k e mensal de 180k. Geralmente, tenho conectado no máximo 7 dispositivos simultaneamente. O número de queries apresentando pelo Pi-hole sempre é maior do que consta no painel de estatísticas do NextDNS. Isso ocorre devido ao fato do Pi-hole nem sempre enviar as consultas para o NextDNS, pois muitas dessas consultas estão armazenadas no cache do Pi-hole. De qualquer forma, pretendo assinar o NextDNS em breve, mas somente para apoiar o projeto.

dsouza escreveu:(...) e apesar do IPv4 continuar bom não conseguir fazer a configuração do DNS'o'Matic para atualizar meu IPv4 público automaticamente no CloudFlare.

Segundo a documentação do Cloudflare Gateway, utilizando uma configuração com IPv6 ou DNS over HTTPS, não é necessário enviar a atualização do endereço IPv4 toda vez que este é alterado. Verificando também a documentação DDNS do OpenWrt (https://openwrt.org/docs/guide-user/services/ddns/client#requirements), para utilizar o Cloudflare com DDNS é necessário instalar, além do ddns-scripts e do luci-app-ddns, o pacote ddns-scripts_cloudflare. Também é necessário habilitar o suporte para o protocolo SSL instalando os pacotes wget e ca-certificates. Por fim, ainda é necessário que a rede tenha suporte IPv6. Diante disso, arrisco-me a dizer que os procedimentos acima fazem é tão somente enviar o endereço IPv6 para o Cloudflare, mas não há nenhum suporte para atualizar o IPv4. 

Quando testei o serviço Cloudflare Gateway, utilizei o protocolo DNS over HTTPS na minha configuração através do software dnscrypt-proxy. O dnscrypt-proxy, como o nome já diz, poder ser configurado como um servidor proxy. Dessa forma, todas as consultas de DNS recebidas pelo endereço IP do Pi-hole são repassadas ao dnscrypt-proxy e este, por sua vez, faz as consultas diretamente aos servidores de DNS do Cloudflare e as retransmitem para o Pi-hole.

D'oh! escreveu:

dsouza
Benchmark via Claro Internet Fixa (NET Virtua) em Porto Alegre:

Esse benchmark é realizado por algum aplicativo, comando ou script? Se afirmativo, qual? Gostaria de testar?

É um shell script para Linux disponível em: https://github.com/cleanbrowsing/dnsperftest

D'oh! escreveu:

dsouza escreveu:Com isso dito uma pergunta: você está pagando pelo NextDNS ou o número de queries mensais fica abaixo de 300K? É que no meu caso acho que ultrapassará 300K fácil (o PiHole mostra uma médica de 50K consultas/dia...).

Estou usando há quase três meses, mas nunca ultrapassei o nível gratuito. Minha média diária de queries é 5k e mensal de 180k. Geralmente, tenho conectado no máximo 7 dispositivos simultaneamente. O número de queries apresentando pelo Pi-hole sempre é maior do que consta no painel de estatísticas do NextDNS. Isso ocorre devido ao fato do Pi-hole nem sempre enviar as consultas para o NextDNS, pois muitas dessas consultas estão armazenadas no cache do Pi-hole. De qualquer forma, pretendo assinar o NextDNS em breve, mas somente para apoiar o projeto.

O número de cache hits no meu PiHole estava baixo. Descobri que uma query para um servidor DNS retorna um TTL (time to live) da validade da consulta. Muitos FQDN estão retornando um TTL muito baixo, li isso no artigo abaixo:

https://blog.apnic.net/2019/11/12/stop-using-ridiculously-low-dns-ttls/

Isso está causando pouca efetividade do cache do PiHole.

Investiguei um pouco e descobri que é possível fazer o PiHole desconsiderar o TTL retornado pelas consultas e usar um valor pré-configurado. Fiz essa alteração para 40 minutos da validade das resoluções de DNS. Com isso uso do cache do PiHole aumentou consideravelmente depois disso - está na média de 35% agora:



Fiz isso adicionando a linha abaixo no arquivo "/etc/dnsmasq.d/05-customadditions.conf" (que precisei criar):

Código:

# Change DNS cache TTL to 40 minutes  
min-cache-ttl=2400

D'oh! escreveu:

dsouza escreveu:(...) e apesar do IPv4 continuar bom não conseguir fazer a configuração do DNS'o'Matic para atualizar meu IPv4 público automaticamente no CloudFlare.

Segundo a documentação do Cloudflare Gateway, utilizando uma configuração com IPv6 ou DNS over HTTPS(...)

Sim, justamente estava usando IPv6, e o que disse anteriormente é que o ping para o IPv6 do Cloudflare (que eu estava usando) aumentou para ~150ms, quando o IPv4 estava normal na faixa dos ~30ms. Provavelmente problemas de rota da NET, ver abaixo a diferença dos tempos de ping para os DNS da Cloudflare Teams.

Juntando a isso o fato de que o filtro do Cloudflare estava bloqueando muita coisa que não deveria, acabei voltando para o OpenDNS nesse momento.

Eventualmente vou testar o NextDNS para avaliar a quantidade de hits e se o filtro funciona bem. Não pretendo pagar já que o OpenDNS é gratuito e tem me servido bem por enquanto...

dsouza escreveu:Fiz isso adicionando a linha abaixo no arquivo "/etc/dnsmasq.d/05-customadditions.conf" (que precisei criar):

Ótima dica, não sabia dessa configuração. Certamente irei testar.

O NextDNS tem uma configuração para TTL, mas ainda não utilizei. Creio que deva fazer exatamente isso, mas do lado de lá.



Edit: Pesquisando sobre TTL, descobri que o Pi-hole também possui configuração semelhante:

https://discourse.pi-hole.net/t/change-the-ttl/6903/2

D'oh! escreveu:

dsouza escreveu:Fiz isso adicionando a linha abaixo no arquivo "/etc/dnsmasq.d/05-customadditions.conf" (que precisei criar):

Ótima dica, não sabia dessa configuração. Certamente irei testar.

O NextDNS tem uma configuração para TTL, mas ainda não utilizei. Creio que deva fazer exatamente isso, mas do lado de lá.



Edit: Pesquisando sobre TTL, descobri que o Pi-hole também possui configuração semelhante:

https://discourse.pi-hole.net/t/change-the-ttl/6903/2

Esse link do PiHole que vc passou é para a resolução local, não resolve o problema. A configuração correta do PiHole para isso é a que eu passei acima.

Como não sou muito dos paranuês, uso de vez em quando o Adguard Home, que por ora é gratuito e simples de mexer e funciona no windows.

Tive que desabilitar o IPv6 por aqui. As rotas da NET estão todas zoadas. O teste de velocidade da Netflix (www.fast.com) estava dando 30Mbps e não sabia porque (minha conexão é 240Mbps).

Fui investigar, a culpa era o IPv6. Bastou desabilidar o IPv6 e o resultado do Fast.com subiu para 230Mbps. Notei que o YouTube tambpém estava demorando para entrar em alta qualidade. Bastou desabilitar o IPv6 e o YouTube passou a entrar em 4K direto. Ou seja, o problema que reportei anteriormente sobre o DNS da CloudFlare é generalizado com o IPv6.

Adicionalmente resolveu também o problema de baixo desempenho que eu estava tendo de upload para o Google Drive, que foi resolvido desabilitando o IPv6.

Depois de tanto tempo o IPv6 continua ainda imaturo nos provedores. Provavelmente não estão lidando direito com a atualização das rotas IPv6 para os CDNs locais...

dsouza escreveu:Esse link do PiHole que vc passou é para a resolução local, não resolve o problema. A configuração correta do PiHole para isso é a que eu passei acima.

Sim, você está correto. Estou utilizando a configuração que você postou, pois ela se aplica ao cache dos servidores upstream.

Código:

# Change DNS cache TTL to 40 minutes  [size=14][/size]
min-cache-ttl=2400

A configuração que está no link que postei é para o valor (tempo mínimo TTL) que será enviado para os dispositivos locais.

@D'oh!, estou testando desde Domingo o NextDNS por tua indicação. Em 24hs tive praticamente 20.000 consultas (abaixo), e a taxa de utilização do cache do PiHole está em 30%.

Se continuar assim a franquia de 300.000 consultas/mês do NextDNS para meu caso irá durar apenas 15 dias...

dsouza escreveu:Se continuar assim a franquia de 300.000 consultas/mês do NextDNS para meu caso irá durar apenas 15 dias...

Tudo indica que irá ultrapassar. Na minha configuração, sendo utilizado deste o inicio do mês, foram contabilizados 85k, mas tenho no máximo 7 dispositivos conectados no roteador. No seu caso, ultrapassando os 300k, o serviço continuará funcionando como um servidor de DNS comum, as filtragens serão desativadas até o próximo mês.

D'oh! escreveu:

dsouza escreveu:Se continuar assim a franquia de 300.000 consultas/mês do NextDNS para meu caso irá durar apenas 15 dias...

Tudo indica que irá ultrapassar. Na minha configuração, sendo utilizado deste o inicio do mês, foram contabilizados 85k, mas tenho no máximo 7 dispositivos conectados no roteador. No seu caso, ultrapassando os 300k, o serviço continuará funcionando como um servidor de DNS comum, as filtragens serão desativadas até o próximo mês.

Estou gostando do NextDNS. 

Uma coisa que descobri hoje: tenho meu dominio de casa configurado como ".home" (no lugar do usual ".local"). Uso o PiHole para resolução de nomes locais, como por exemplo "pi3.home", "nas.home" e assim por diante.

Porém tem alguns sites "suspeitos" que ao carregar alguma página fazem consultas de sites aleatórios locais (ex: "queasdfkasf.home"), e o PiHole estava encaminhando esse nome para o servidor DNS Upstream (ou seja, estava "gastanto" uma consulta no NextDNS desnecessariamente).

Tive que quebrar um pouco a cabeça, mas descobri como configurar o PiHole para não encaminhar consultas desse tipo (FQDN com domínio local) para o servidor DNS Upstream.

Inicialmente tentei a dica desse site, que consistiria em adicionar a linha "API_EXCLUDE_DOMAINS=home" (no meu caso) no arquivo /etc/pihole/setupVars.conf  mas não funcionou.

Achei a solução em outro site (perdi a referência) que consite em criar um arquivo "05-customadditions.conf" (tem que começar com um número e terminar com .conf) no diretório "/etc/dnsmasq.d/" e nesse arquivo adicionei a linha abaixo:

local=/home/

Agora toda vez que uma query do tipo "queasdfkasf.home" é feita, a mesma não é encaminhada mais para o servidor DNS upstream e o PiHole mostra a mensagem abaixo (anteriormente era encaminhada para o DNS upstream):



Porém os outros nomes locais que tenho configurados (ex: pi3.home) continuam sendo resolvidos corretamente.

#ficaadica!