thảo luận Cài đặt Adguard Home - Chặn quảng cáo trên VPS

Các bác cho mình hỏi, cái adgurad home này so với adguard pro trên ios thì cái nào hơn nhỉ, xét về chặn quảng cáo
như trên ios thì thiết lập chặn gần như hết quảng cáo trong app (vì mình dùng chủ yếu trên điện thoại là nhiều, mà trên đt cài adguard bật vpn thì ngốn pin lắm)
 
à không phải sợ đâu thiếm :LOL: VPN full tunnel thì mới lo chứ chỉ DNS và Split tunnel thì bé tẹo.

Mà DNS thím cài có mở thông thống 53 không hay là split tunnel traffic DNS tới thôi? Có cái gì chống amplification không vậy? :eek:
Mình coi nhẹ security quá (dù học security 🥲) nên mấy ngày nay dính mấy cái tên lạ, mà đám này chỉ query mỗi cái pizzaseo.com, dù AWS hay Azure:

1632118719466.jpeg

1632118739413.jpeg


May là trong này cái gì cũng có, mình làm theo guide whitelist IP Việt Nam trên 2 con kia với con Oracle nên giờ lại ổn rồi :D

1632119024087.png
 
Các bác cho mình hỏi, cái adgurad home này so với adguard pro trên ios thì cái nào hơn nhỉ, xét về chặn quảng cáo
như trên ios thì thiết lập chặn gần như hết quảng cáo trong app (vì mình dùng chủ yếu trên điện thoại là nhiều, mà trên đt cài adguard bật vpn thì ngốn pin lắm)

AGH tuổi gì chặn được như bản cài trực tiếp trên thiết bị.
DxrRvM8.jpg
 
Mình coi nhẹ security quá (dù học security 🥲) nên mấy ngày nay dính mấy cái tên lạ, mà đám này chỉ query mỗi cái pizzaseo.com, dù AWS hay Azure:

View attachment 773761
View attachment 773762

May là trong này cái gì cũng có, mình làm theo guide whitelist IP Việt Nam trên 2 con kia với con Oracle nên giờ lại ổn rồi :D

View attachment 773766
SplyEyV.png
thực ra thì cũng may của phen chặn rồi. Cơ chế của DNS amplification thì nó không gây hại cho phen, mà hại cho cái người bị nó spoof IP thôi.

Mình whitelist IP Việt Nam cũng thỉnh thoảng bị mấy IP (tra ra toàn của bọn FPT, kiểu mấy bên dịch vụ hosting) nó query pizzaseo và sl, nên lúc đó block thủ công luôn.
 
SplyEyV.png
thực ra thì cũng may của phen chặn rồi. Cơ chế của DNS amplification thì nó không gây hại cho phen, mà hại cho cái người bị nó spoof IP thôi.

Mình whitelist IP Việt Nam cũng thỉnh thoảng bị mấy IP (tra ra toàn của bọn FPT, kiểu mấy bên dịch vụ hosting) nó query pizzaseo và sl, nên lúc đó block thủ công luôn.
Có hại thì hại là làm cho độ trễ của cái DNS Server của mình thôi thím (khi mình query DNS từ thiết bị của mình), chứ cái domain tào lao nào bị thèn khác nó query thì có ảnh hưởng đến cái domain đó đâu thím :LOL:
 
SplyEyV.png
thực ra thì cũng may của phen chặn rồi. Cơ chế của DNS amplification thì nó không gây hại cho phen, mà hại cho cái người bị nó spoof IP thôi.

Mình whitelist IP Việt Nam cũng thỉnh thoảng bị mấy IP (tra ra toàn của bọn FPT, kiểu mấy bên dịch vụ hosting) nó query pizzaseo và sl, nên lúc đó block thủ công luôn.
Nãy tự nhiên mình thấy mấy con VM của mình drop địa chỉ IPv6, xong lại phải đi reset iptables rồi :sweat:
Giờ mình thử set iptables xong reset ip6tables xem thế nào, dù sao chắc cũng không ai attack qua IPv6 đâu :sweat:
 
Nãy tự nhiên mình thấy mấy con VM của mình drop địa chỉ IPv6, xong lại phải đi reset iptables rồi :sweat:
Giờ mình thử set iptables xong reset ip6tables xem thế nào, dù sao chắc cũng không ai attack qua IPv6 đâu :sweat:
Của fen region nào vậy fen. Mình lỡ dk san jose, giờ ko tạo được a1 flex. Chạy cron mấy ngày nay rồi.
 
Nãy tự nhiên mình thấy mấy con VM của mình drop địa chỉ IPv6, xong lại phải đi reset iptables rồi :sweat:
Giờ mình thử set iptables xong reset ip6tables xem thế nào, dù sao chắc cũng không ai attack qua IPv6 đâu :sweat:
IPv6 trên oracle thím nhớ allow dhcpv6. Nó không phải broadcast như dhcpv4 nên ip6tables nó thịt.
 
IPv6 trên oracle thím nhớ allow dhcpv6. Nó không phải broadcast như dhcpv4 nên ip6tables nó thịt.
Mình mới nhận ra cái nữa là vì list IP dùng trong này không có IPv6 Việt Nam, nên mặc định nó sẽ drop hết IPv6 traffic :burn_joss_stick:
Không biết ở đâu có raw list cả v4 với v6 Việt Nam không nhỉ, vì mình thấy VNNIC cũng có cái danh bạ IP/ASN qua VNIX, mà Google sơ qua vẫn chưa thấy gì.
 
Mình mới nhận ra cái nữa là vì list IP dùng trong này không có IPv6 Việt Nam, nên mặc định nó sẽ drop hết IPv6 traffic :burn_joss_stick:
Không biết ở đâu có raw list cả v4 với v6 Việt Nam không nhỉ, vì mình thấy VNNIC cũng có cái danh bạ IP/ASN qua VNIX, mà Google sơ qua vẫn chưa thấy gì.
use case của thím có dùng được geolite2 không?

Hoặc nếu thím có thể update list từ url thì mình có url này, hay dùng trên OPNsense ở nhà để allow/block theo ASN: https://api.hackertarget.com/aslookup/?q=AS45899

Ví dụ 45899 là vnpt, 18403 là fpt, 7552 là viettel
 
use case của thím có dùng được geolite2 không?

Hoặc nếu thím có thể update list từ url thì mình có url này, hay dùng trên OPNsense ở nhà để allow/block theo ASN: https://api.hackertarget.com/aslookup/?q=AS45899

Ví dụ 45899 là vnpt, 18403 là fpt, 7552 là viettel
Mình đang tính tự build list cho VNPT từ trên trang của VNNIC rồi test xem thế nào, bởi mình để ý thấy VNPT chỉ dùng cái prefix 2001:ee0::/32 thì phải, với tạm thời với mình thì thế này chắc cũng đủ :)
https://thongkeinternet.vn/jsp/vnix/danhba_ipasn.jsp#:~:text=16-,VNPT Net,-7643

À với cái allow dhcpv6 thì command thế nào đây thím, mình mới tập tành món firewall trên Linux này thôi nên vẫn chưa rành lắm :sweat:
 
Last edited:
À với cái allow dhcpv6 thì command thế nào đây thím, mình mới tập tành món firewall trên Linux này thôi nên vẫn chưa rành lắm
Gửi thím đoạn ip6tables mình đang dùng, bôi đậm chỗ DHCPv6 nhé.

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d fe80::/10 -p udp -m udp --dport 546 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -m comment --comment "Incoming requests to Pi-hole" -j Pi-hole
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
-A Pi-hole -p udp -m geoip --source-country VN -m udp --dport 53 -m comment --comment "Pi-hole DNS" -j ACCEPT
-A Pi-hole -p tcp -m geoip --source-country VN -m multiport --dports 443,853 -m state --state NEW -m comment --comment "Nginx Pi-hole DoH and DoT" -j ACCEPT
-A Pi-hole -p tcp -m multiport --dports 80,65443 -m state --state NEW -m comment --comment "Pi-hole Web" -j ACCEPT

Rule SSH thì mình không muốn siết, sợ toang cái là khỏi vào. Rule DHCPv6 thì thím allow UDP/546 vào địa chỉ link-local của VNIC (hoặc nếu lười như mình thì allow full dải link-local cũng chả sao), để con host nó nhận advertise với reply từ DHCPv6 server của thằng Oracle nhé.

chỗ -m geoip mình dùng module nhé. Thím nhớ check kỹ không cẩn thận lại đi bụi :shame:

Dưới đây là NSG (chỉ list rule v6) của mình:

1632151210374.png

1632151222035.png
 
cái này add vào white list pihole làm sao vậy bác
mình thì không rõ whitelist của pihole, nhưng thím thử xem có module nào liên quan tới ip list của iptables không? Như trên, mình chặn ở lớp IP nên vào đến pihole thì mình chỉ blacklist các domain thôi.

Còn cái URL mình gửi thì mình dùng cho con OPNsense ở nhà :sweat:
 
Back
Top