DNS Einstellungen
Upstream DNS Server
| IPv4 | IPv6 | Name | ||
|---|---|---|---|---|
ECS (Extended Client Subnet) definiert einen Mechanismus für rekursive Resolver, um Teilinformationen der Geräte-IP-Adresse an autorisierende DNS-Nameserver zu senden. Content Delivery Networks (CDNs) und latenzempfindliche Dienste nutzen dies, um geolokalisierte Antworten zu geben, wenn sie auf Namenssuchen reagieren, die über öffentliche DNS-Resolver erfolgen. Beachten Sie, dass ECS zu einer eingeschränkten Privatsphäre führen kann.
Benutzerdefinierter DNS Server
DNS Domain Einstellungen
Die DNS-Domänen für Ihr Pi-hole. Diese DNS-Domäne ist rein lokal. FTL kann Anfragen aus seinem lokalen Cache und seiner Konfiguration beantworten, leitet aber *nie* irgendwelche Anfragen weiter, es sei denn, Sie haben einen dns.rev-Server genau für diese Domäne konfiguriert. Wenn keine Domäne angegeben ist und Sie den DHCP-Server von Pi-hole verwenden, werden alle Hostnamen mit einem Domänenteil (d. h. mit einem Punkt) nicht zugelassen. Wenn eine Domäne angegeben ist, werden Hostnamen mit einem Domänenteil, der mit der Domäne übereinstimmt, zugelassen. Wenn ein Suffix angegeben wird, wird bei Hostnamen ohne Domänenteil zusätzlich das Suffix als optionaler Domänenteil hinzugefügt.
Wenn diese Option gesetzt ist, wird die Domain mit einem einfachen Namen (ohne Punkt) in die /etc/hosts auf die gleiche Weise hinzugefügt wie bei DHCP-abgeleiteten Namen.
Anfragebeschränkung
Blockieren Sie Geräte, die mehr als Anfragen in Sekunden stellen.
Wenn ein Gerät in zu kurzer Zeit zu viele Anfragen durchführt,
werden die Anfragen begrenzt. Begrenzte Anfragen werden mit der Antwort
REFUSED beantwortet und von FTL nicht weiter
verarbeitet, um zu verhindern, dass Pi-hole von bösartigen Geräten
überlastet wird. Es ist wichtig zu beachten, dass die Anfragebegrenzung
pro Gerät erfolgt. Andere Geräte können FTL jedoch weiterhin verwenden,
während anfragebegrenzte Geräte gleichzeitig ausgeschlossen werden.
Die Ratenbegrenzung kann vollständig deaktiviert werden, indem beide Werte auf Null gesetzt werden.
Einstellungen der Schnittstelle
Empfohlene Einstellung
Erlaubt nur Anfragen von Geräten, die höchstens einen Sprung entfernt sind (lokale Geräte).
Potenziell gefährliche Optionen
Stellen Sie sicher, dass Ihr Pi-hole ordnungsgemäß durch eine Firewall geschützt ist!Diese Optionen sind gefährlich für Geräte, die direkt mit dem Internet verbunden sind, wie z. B. Cloud-Instanzen und sind nur sicher, wenn Ihr Pi-hole über eine ordnungsgemäße Firewall verfügt. In einem typischen Heim-Setup, bei der sich Ihr Pi-hole in Ihrem lokalen Netzwerk befindet (und Sie Port 53 in Ihrem Router nicht weitergeleitet haben!), können sie sicher verwendet werden.
Für weitere technische Details schauen Sie sich bitte unsere Dokumenation an.
Erweiterte DNS Einstellungen
Weist Pi-hole an, niemals Anfragen für einfache Namen ohne Punkte oder
Teile einer Domain an vorgelagerte Nameserver weiterzuleiten. Wenn der Name nicht aus /etc/hosts
oder DHCP bekannt ist, wird die Antwort „nicht gefunden“ zurückgegeben.
Wenn die
bedingte Weiterleitung aktiviert ist, kann das Deaktivieren dieses Kontrollkästchens
unter bestimmten Umständen zu einer teilweisen DNS-Schleife führen (z. B. wenn
ein Client TLD-DNSSEC-Anfragen senden würde).
Alle Reverse-Lookups für private IP-Bereiche (z. B. 192.168.0.x/24 usw.),
die nicht in /etc/hosts oder den DHCP-Vergaben gefunden werden, werden mit
„keine solche Domain“ beantwortet, anstatt weitergeleitet zu werden. Die betroffenen
Präfixe sind in der Liste RFC6303 aufgeführt.
Wichtig: Die Aktivierung dieser beiden Optionen erhöht möglicherweise Ihre Privatsphäre, aber auch verhindern, dass Sie auf lokale Hostnamen zugreifen können, wenn Pi-hole nicht als DHCP-Server verwendet wird. Stellen Sie sicher, dass Sie in diesem Fall die bedingte Weiterleitung eingerichtet haben.
Überprüfen Sie die DNS-Antworten und speichern Sie DNSSEC-Daten im Cache zwischen. Beim Weiterleiten von DNS-Anfragen fordert Pi-hole die DNSSEC-Einträge an, die zur Überprüfung der Antworten erforderlich sind. Wenn eine Domain die Überprüfung nicht besteht oder der Upstream DNSSEC nicht unterstützt, kann diese Einstellung Probleme beim Auflösen von Domains verursachen. Verwenden Sie bei der Aktivierung von DNSSEC einen vorgelagerten DNS-Server, der DNSSEC unterstützt. Beachten Sie, dass sich die Größe Ihres Protokolls erheblich erhöhen kann, wenn Sie DNSSEC aktivieren. Einen DNSSEC-Resolver-Test gibt es hier.
Bedingte Weiterleitung
Wenn Pi-hole nicht als DHCP-Server konfiguriert ist, ist es normalerweise nicht möglich, die Namen der Geräte in Ihrem lokalen Netzwerk zu ermitteln. Infolgedessen werden in Tabellen wie Top Geräte nur IP-Adressen angezeigt.
Eine Lösung hierfür besteht darin, Pi-hole so zu konfigurieren, dass es diese Anfragen an Ihren DHCP-Server weiterleitet (höchstwahrscheinlich Ihren Router), jedoch nur für Geräte in Ihrem Heimnetzwerk. Um dies zu konfigurieren, müssen wir die IP-Adresse Ihres DHCP-Servers kennen und wissen, welche Adressen zu Ihrem lokalen Netzwerk gehören. Nachfolgend finden Sie beispielhafte Eingaben als Platzhalter in den Textfeldern (falls leer).
Wenn Ihr lokales Netzwerk 192.168.0.1 bis 192.168.0.255 umfasst, müssen Sie
192.168.0.0/24 eingeben. Wenn Ihr lokales Netzwerk 192.168.47.1 - 192.168.47.255 ist,
müssen Sie 192.168.47.0/24 oder ähnliches eingeben. Wenn Ihr Netzwerk größer ist,
muss das CIDR unterschiedlich sein. Beispielsweise ergibt ein Bereich von 10.8.0.1 – 10.8.255.255
10.8.0.0/16. Hingegen führt ein noch größeres Netzwerk von 10.0.0.1 – 10.255.255.255 zu 10.0.0.0/8 führt.
Das Einrichten von IPv6-Bereichen ähnelt hier genau dem Einrichten von IPv4 und wird vollständig unterstützt.
Kontaktieren Sie uns gerne in unserem
Diskussionsforum,
falls Sie Hilfe beim Einrichten der lokalen Hostnamenauflösung für Ihr spezielles System benötigen.
Sie können auch einen lokalen Domainnamen angeben (z. B. fritz.box), um sicherzustellen,
dass Anfragen an Geräte, die auf Ihren lokalen Domainnamen enden, Ihr Netzwerk nicht verlassen. Dies
ist jedoch optional. Damit dies funktioniert, muss der lokale Domainname mit dem in Ihrem DHCP-Server
angegebenen Domainamen übereinstimmen. Sie können es wahrscheinlich in den DHCP-Einstellungen finden.
Durch die Aktivierung der bedingten Weiterleitung werden auch alle Hostnamen (d. h. Nicht-FQDNs) an den Router weitergeleitet, wenn „Niemals Nicht-FQDNs weiterleiten“ aktiviert ist.
Die folgende Liste enthält alle Reverse-Server, die Sie hinzufügen möchten. Das erwartete Format ist ein Server pro Zeile in Form von <enabled>,<ip-address>[/<prefix-len>],<server>[#<port>][,<domain>]. Eine gültige Konfigurationszeile könnte wie folgt aussehen true,192.168.0.0/24,192.168.0.1,fritz.box