Saját DNS: Miért érdemes hálózati szinten blokkolni a reklámokat?

Ha már futtatsz Headscale-t Tailscale hálózatodhoz, megvan a privát, titkosított kapcsolat minden eszközöd között. Sokan itt megállnak, pedig a DNS-szinten is megoldhatod a reklám- és követőblokkolást. Így mindenhol élvezed az előnyeit: telefonon, laptopon, tableten, asztali gépen – automatikusan.

Régebbi módszer? Küldd a lekérdezéseket Cloudflare-re vagy Quad9-re. Működik, de kimarad a lényeg.

Miért jó a belső DNS?

Ha a Headscale kezeli a DNS-t az egész tailnetben, minden eszköz kap szűrt eredményeket, konfiguráció nélkül. Semmi app telepítés, sem eszközönkénti lista, sem bonyolult karbantartás.

Nézd meg a gyakorlati hasznot:

• Reklámok eltűnnek hálózatszerte. A gyanús követőhálózatok már az ajtónál visszafordulnak.
• Belső nevek azonnal működnek. A homeserver.tailnet.local mindenhol feloldódik.
• Egységes biztonság. Te döntesz, mi jöjjön át, nincs kivétel.

Miért Blocky a self-hostinghoz?

Pi-hole vagy AdGuard Home? Jó cuccok, beváltak. De tele vannak webes felülettel, adatbázissal, végtelen opcióval – néha túlzás.

A Blocky más. DNS proxy, ami csak szűr, semmi felesleg. Egy YAML fájl, fut bárhol. Csak blokkolja a rossz lekérdezéseket, és kész.

Kompromisszum? Nincs cicoma UI. De ha parancssorban élsz, ez előny.

Mi teszi különlegessé:

• Egyszerű beállítás. Nincs adatbázis, webes felület, frissítgetés.
• Beépített blokklists. Közösségi források vagy saját listák.
• Könnyű. Raspberry Pi-n, kis VPS-en boldog, ahol a Headscale is van.
• Titkosított upstream. DNS-over-TLS (DoT) a kedvenc publikus resolveredhez.

Android Private DNS csapda

Képzeld el: Android Private DNS publikus DoT-ra (pl. AdGuard) mutat, minden szuper. Bejön a Tailscale, és kész, DNS halott.

Mi történik: Headscale DNS-t állít be (100.100.100.100), Android követi, de az nem DoT-képes. A Private DNS ellenőrzés elbukik, semmi sem oldódik fel.

Megoldás? Add át a Tailscale-nek a teljes DNS-t. Dobd el az Android Private DNS-t. Futtass Blocky-t a tailnetben, mutass rá Headscale-lel, és Blocky kezeli a DoT-t upstreamre. Ennyi.

Mire figyelj telepítéskor?

Tudd, mit akarsz elérni Blocky-val:

1. Reklámblokkolás mindenhova. Tailnet-eszközök automatikusan szűrt DNS-t kapnak, felhasználóknak nulla macera.

2. Titkosított upstream. Blocky és publikus resolver között DoT. WireGuard már védi a többit, de ne spórolj ezen.

3. Belső nevek támogatása. homeserver.ts.internal működik mindenhol.

4. Nulla eszközbeállítás. Headscale tolja ki, kliensek felveszik.

Hogyan néz ki a rendszer?

Így áramlik:

1. Eszközök csatlakoznak Tailscale-hez (Headscale-en át).
2. Headscale Blocky IP-jét osztja ki DNS-ként.
3. Lekérdezés Blocky-ra megy.
4. Blocky ellenőrzi a listákat: blokkolt NXDOMAIN, tiszta tovább upstream.
5. Upstream DoT-val (Cloudflare, Quad9).
6. Válasz cache-lődik, vissza az eszközre.
7. Minden WireGuard védi. Te irányítasz.

Miért fontos ez ma?

2024-ben alap a privacy és reklámblokkolás. De legtöbb megoldás eszközönkénti pacsikolás. Ez hálózati: skáláz. Új telefon a tailnetbe? Kész a blokkolás. Barátnál? Védelem megvan.

Fejlesztőknek, infra-soknak: csökkenti a támadási felületet. Te auditálod a listákat, te választasz resolvert. Self-hosted DNS-logika.

Következő lépések

Headscale fut? Dobd be a Blocky-t – logikus folytatás. Bármi mást is használhatsz (Unbound, Bind, Coredns), de Blocky a legegyszerűbb.

Ráadásul nem ragadsz le: cserélheted nyugodtan. Headscale/Tailscale mindegyit bírja.

Ne add ki a DNS-t vakon. Vedd át az irányítást. Blokkolj mindent. Tartsd bent az adatot. Ez a self-hosted álom, és kézzel fogható.