Skrivet av nawks:

I praktiken fungerar det rätt bra. Jag tror du kommer bli nöjd och tycka det var värt besväret om du sätter upp en Pi-Hole eller en AdGuard Home.

Men...

DNS sinkhole-lösningar blockerar inget. Det bara ger ett falskt svar på en DNS-förfrågan. Vilket förutsätter att den som frågar faktiskt använder operativsystemets inställning för DNS och alls gör en DNS-förfrågan för att översätta host-namn till IP-nummer.

För att verkligen tvinga fram att alla typer av DNS-förfrågningar (port 53, DNS-över-HTTPS och DNS-över-TLS) går bara till den DNS-server där man kan kontrollera svaren så behövs det en brandvägg med väluppdaterade regler. Brandväggen kan då också blockera alla IP där det finns reklam att hämta, så att den som försöker hämta reklamen inte kan gå direkt på IP:t. Om enheten (mobilen) är utanför ens brandvägg behöver man först VPN:a in bakom den så att den kan nyttjas.

Den enda lösningen jag känner till som verkligen fixar det är tillägget banIP för OpenWrt. Tillägget laddar ner blocklistor, som alltså blockar på IP-nummer-nivå, inte på hostnamn-nivå.

Samma herre som gör det tillägget gör också tillägget adblock till OpenWrt, som är en vanlig DNS sinkhole-lösning, som tillämpar DNS-hijacking på alla DNS-förfrågningar som passerar OpenWrt-routern.

Kombinationen/integrationen mellan lösningarna är den verkliga styrkan, att man i brandväggen kan hindra utgående uppkopplingar till IP-nummer som inte är uppslagna via den lokala DNS:en, som man själv alltså kontrollerar via hostnamn-blocklistor. Den lösningen tror jag bara är möjlig om man kör Linux-brandväggen och DNS på samma burk - just denna lösningen nyttjar en specifik dnsmasq-funktionalitet.

Nackdelen med att köra bara den rena brandväggslösningen är att den kan ge en hel del falska positiver om man väljer in de största IP-blocklistorna. oisdbigv4 blockar till exempel sweclockers IP och några av IP-blocklistorna blockar andra blocklistors sajter.

Man behöver (för just den nämnda lösningen i alla fall) en router som kör OpenWrt och har rejält med RAM (nåja, >= 256 MB, helst mer). Brandväggslösningen fungerar inte, precis som DNS sinkhole, på reklam som laddas från samma server som övrigt innehåll på en webbsida - men det är ju inte ett problem för reklam i appar.