konstrukt
Информационная безопасность/Пробив-Сервис
Доверенный продавец
Проверенный продавец
Сервис
Пробив сервис
Подтвержденный
- Сообщения
- 170
- Реакции
- 45
- Продажи
- 6
- Покупки
- 13
- Кешбек
- 9.25$
Приветствую, обсудим сетевые инструменты безопасности.
Pi-hole: блокировка трекеров на уровне DNS
Pi-hole это DNS сервер который блокирует рекламу и трекеры для всех устройств в сети одновременно. Устанавливается на Raspberry Pi или любой Linux сервер, становится DNS сервером для всей домашней сети.
Как работает: когда устройство делает DNS запрос к рекламному домену — Pi-hole возвращает пустой ответ. Запрос не уходит никуда. Это работает для всех устройств в сети — телефонов, телевизоров, умных устройств — без установки чего-либо на каждое устройство отдельно.
Установка на Raspberry Pi или любой Linux:
bash
<span><span>curl</span><span> -sSL
После установки в роутере прописать IP Pi-hole как DNS сервер — все устройства в сети автоматически начнут его использовать.
Blocklists — основа Pi-hole. Стандартные списки блокируют миллионы рекламных и трекинговых доменов. Дополнительные списки от сообщества закрывают телеметрию Windows, умных телевизоров, IoT устройств.
Что это даёт: телевизор Samsung перестаёт стучать домой, Windows телеметрия блокируется на сетевом уровне, реклама исчезает на всех устройствах включая мобильные приложения которые обходят браузерные блокировщики.
Веб интерфейс показывает в реальном времени какие запросы делают устройства в сети — полезно для аудита что и куда стучит.
Ограничение: Pi-hole блокирует по доменам но не шифрует DNS запросы. Добавить DNS over HTTPS через cloudflared или unbound для шифрования запросов.
WireGuard: почему лучше OpenVPN
WireGuard это современный VPN протокол разработанный с нуля с акцентом на простоту и скорость. Встроен в ядро Linux начиная с версии 5.6.
Почему лучше OpenVPN
Кодовая база: OpenVPN это около 600 тысяч строк кода. WireGuard — около 4 тысяч строк. Меньше кода означает меньше поверхности атаки и проще аудит безопасности.
Скорость: WireGuard существенно быстрее OpenVPN — особенно заметно на мобильных устройствах и при нестабильном соединении. Переключение между WiFi и мобильной сетью происходит без разрыва туннеля.
Криптография: WireGuard использует современные алгоритмы — Curve25519 для обмена ключами, ChaCha20 для шифрования, Poly1305 для аутентификации. Нет устаревших алгоритмов которые можно случайно выбрать как в OpenVPN.
Latency: WireGuard работает в режиме UDP с минимальными накладными расходами. Пинг через WireGuard туннель почти не отличается от прямого соединения.
Установка сервера на Linux
bash
<span><span>apt</span><span> </span><span>install</span><span> wireguard<br></span></span><span><span>wg genkey </span><span>|</span><span> </span><span>tee</span><span> privatekey </span><span>|</span><span> wg pubkey </span><span>></span><span> publickey</span></span>
Конфигурация сервера /etc/wireguard/wg0.conf:
<span><span>[Interface]<br></span></span><span>PrivateKey = <приватный ключ сервера><br></span><span>Address = 10.0.0.1/24<br></span><span>ListenPort = 51820<br></span><span>PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br></span><span>PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE<br></span><span><br></span><span>[Peer]<br></span><span>PublicKey = <публичный ключ клиента><br></span><span>AllowedIPs = 10.0.0.2/32</span>
Запуск:
bash
<span><span>systemctl </span><span>enable</span><span> wg-quick@wg0<br></span></span><span>systemctl start wg-quick@wg0</span>
Конфигурация клиента:
<span><span>[Interface]<br></span></span><span>PrivateKey = <приватный ключ клиента><br></span><span>Address = 10.0.0.2/24<br></span><span>DNS = 10.0.0.1<br></span><span><br></span><span>[Peer]<br></span><span>PublicKey = <публичный ключ сервера><br></span><span>Endpoint = <IP сервера>:51820<br></span><span>AllowedIPs = 0.0.0.0/0<br></span><span>PersistentKeepalive = 25</span>
AllowedIPs = 0.0.0.0/0 направляет весь трафик через VPN туннель.
Связка Pi-hole + WireGuard
Классическая комбинация: WireGuard сервер на том же устройстве что и Pi-hole. Подключаешься через WireGuard к домашней сети из любой точки — Pi-hole блокирует трекеры для всего трафика через VPN. Работает на телефоне в публичном WiFi как будто ты дома.
Tailscale: mesh сеть между устройствами
Tailscale это надстройка над WireGuard которая автоматически создаёт приватную mesh сеть между всеми твоими устройствами без необходимости настраивать сервер.
Как работает
Обычный VPN это звезда — все устройства подключаются к центральному серверу. Tailscale это mesh — каждое устройство напрямую соединено с каждым. Нет центральной точки через которую идёт весь трафик.
Установить Tailscale на все устройства — ноутбук, телефон, домашний сервер, Raspberry Pi. Все они автоматически видят друг друга в приватной сети с адресами 100.x.x.x. Соединение прямое между устройствами через WireGuard — Tailscale серверы только помогают установить соединение, трафик через них не идёт.
Практические применения
Доступ к домашней сети из любой точки — подключился с телефона через мобильную сеть, имеешь доступ ко всем устройствам дома как будто в одной сети.
Exit node — одно устройство в сети назначается exit node, весь трафик идёт через него. Домашний сервер как exit node — весь трафик телефона идёт через домашний IP.
Связка с Pi-hole — назначить Pi-hole как DNS сервер для Tailscale сети. Все устройства в mesh сети используют Pi-hole для блокировки трекеров.
Приватность Tailscale
Tailscale это централизованный сервис — компания знает какие устройства в твоей сети и когда они онлайн. Это компромисс между удобством и приватностью.
Headscale — открытая самохостинговая альтернатива координационному серверу Tailscale. Поднимаешь свой сервер, все данные только у тебя. Та же функциональность без зависимости от компании.
Оптимальный стек для домашней сети
Raspberry Pi или мини ПК с Pi-hole для блокировки трекеров на уровне DNS плюс WireGuard для удалённого доступа к домашней сети плюс Headscale если нужна mesh сеть между несколькими устройствами без зависимости от сторонних сервисов.
Это закрывает три задачи одновременно: блокировка телеметрии и рекламы для всех устройств дома, безопасный удалённый доступ к домашней сети, приватная сеть между своими устройствами.
Pi-hole: блокировка трекеров на уровне DNS
Pi-hole это DNS сервер который блокирует рекламу и трекеры для всех устройств в сети одновременно. Устанавливается на Raspberry Pi или любой Linux сервер, становится DNS сервером для всей домашней сети.
Как работает: когда устройство делает DNS запрос к рекламному домену — Pi-hole возвращает пустой ответ. Запрос не уходит никуда. Это работает для всех устройств в сети — телефонов, телевизоров, умных устройств — без установки чего-либо на каждое устройство отдельно.
Установка на Raspberry Pi или любой Linux:
bash
<span><span>curl</span><span> -sSL
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
</span><span>|</span><span> </span><span>bash</span></span>После установки в роутере прописать IP Pi-hole как DNS сервер — все устройства в сети автоматически начнут его использовать.
Blocklists — основа Pi-hole. Стандартные списки блокируют миллионы рекламных и трекинговых доменов. Дополнительные списки от сообщества закрывают телеметрию Windows, умных телевизоров, IoT устройств.
Что это даёт: телевизор Samsung перестаёт стучать домой, Windows телеметрия блокируется на сетевом уровне, реклама исчезает на всех устройствах включая мобильные приложения которые обходят браузерные блокировщики.
Веб интерфейс показывает в реальном времени какие запросы делают устройства в сети — полезно для аудита что и куда стучит.
Ограничение: Pi-hole блокирует по доменам но не шифрует DNS запросы. Добавить DNS over HTTPS через cloudflared или unbound для шифрования запросов.
WireGuard: почему лучше OpenVPN
WireGuard это современный VPN протокол разработанный с нуля с акцентом на простоту и скорость. Встроен в ядро Linux начиная с версии 5.6.
Почему лучше OpenVPN
Кодовая база: OpenVPN это около 600 тысяч строк кода. WireGuard — около 4 тысяч строк. Меньше кода означает меньше поверхности атаки и проще аудит безопасности.
Скорость: WireGuard существенно быстрее OpenVPN — особенно заметно на мобильных устройствах и при нестабильном соединении. Переключение между WiFi и мобильной сетью происходит без разрыва туннеля.
Криптография: WireGuard использует современные алгоритмы — Curve25519 для обмена ключами, ChaCha20 для шифрования, Poly1305 для аутентификации. Нет устаревших алгоритмов которые можно случайно выбрать как в OpenVPN.
Latency: WireGuard работает в режиме UDP с минимальными накладными расходами. Пинг через WireGuard туннель почти не отличается от прямого соединения.
Установка сервера на Linux
bash
<span><span>apt</span><span> </span><span>install</span><span> wireguard<br></span></span><span><span>wg genkey </span><span>|</span><span> </span><span>tee</span><span> privatekey </span><span>|</span><span> wg pubkey </span><span>></span><span> publickey</span></span>
Конфигурация сервера /etc/wireguard/wg0.conf:
<span><span>[Interface]<br></span></span><span>PrivateKey = <приватный ключ сервера><br></span><span>Address = 10.0.0.1/24<br></span><span>ListenPort = 51820<br></span><span>PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br></span><span>PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE<br></span><span><br></span><span>[Peer]<br></span><span>PublicKey = <публичный ключ клиента><br></span><span>AllowedIPs = 10.0.0.2/32</span>
Запуск:
bash
<span><span>systemctl </span><span>enable</span><span> wg-quick@wg0<br></span></span><span>systemctl start wg-quick@wg0</span>
Конфигурация клиента:
<span><span>[Interface]<br></span></span><span>PrivateKey = <приватный ключ клиента><br></span><span>Address = 10.0.0.2/24<br></span><span>DNS = 10.0.0.1<br></span><span><br></span><span>[Peer]<br></span><span>PublicKey = <публичный ключ сервера><br></span><span>Endpoint = <IP сервера>:51820<br></span><span>AllowedIPs = 0.0.0.0/0<br></span><span>PersistentKeepalive = 25</span>
AllowedIPs = 0.0.0.0/0 направляет весь трафик через VPN туннель.
Связка Pi-hole + WireGuard
Классическая комбинация: WireGuard сервер на том же устройстве что и Pi-hole. Подключаешься через WireGuard к домашней сети из любой точки — Pi-hole блокирует трекеры для всего трафика через VPN. Работает на телефоне в публичном WiFi как будто ты дома.
Tailscale: mesh сеть между устройствами
Tailscale это надстройка над WireGuard которая автоматически создаёт приватную mesh сеть между всеми твоими устройствами без необходимости настраивать сервер.
Как работает
Обычный VPN это звезда — все устройства подключаются к центральному серверу. Tailscale это mesh — каждое устройство напрямую соединено с каждым. Нет центральной точки через которую идёт весь трафик.
Установить Tailscale на все устройства — ноутбук, телефон, домашний сервер, Raspberry Pi. Все они автоматически видят друг друга в приватной сети с адресами 100.x.x.x. Соединение прямое между устройствами через WireGuard — Tailscale серверы только помогают установить соединение, трафик через них не идёт.
Практические применения
Доступ к домашней сети из любой точки — подключился с телефона через мобильную сеть, имеешь доступ ко всем устройствам дома как будто в одной сети.
Exit node — одно устройство в сети назначается exit node, весь трафик идёт через него. Домашний сервер как exit node — весь трафик телефона идёт через домашний IP.
Связка с Pi-hole — назначить Pi-hole как DNS сервер для Tailscale сети. Все устройства в mesh сети используют Pi-hole для блокировки трекеров.
Приватность Tailscale
Tailscale это централизованный сервис — компания знает какие устройства в твоей сети и когда они онлайн. Это компромисс между удобством и приватностью.
Headscale — открытая самохостинговая альтернатива координационному серверу Tailscale. Поднимаешь свой сервер, все данные только у тебя. Та же функциональность без зависимости от компании.
Оптимальный стек для домашней сети
Raspberry Pi или мини ПК с Pi-hole для блокировки трекеров на уровне DNS плюс WireGuard для удалённого доступа к домашней сети плюс Headscale если нужна mesh сеть между несколькими устройствами без зависимости от сторонних сервисов.
Это закрывает три задачи одновременно: блокировка телеметрии и рекламы для всех устройств дома, безопасный удалённый доступ к домашней сети, приватная сеть между своими устройствами.
