diff --git a/Kapitel 2/Premium Rohtext.md b/Kapitel 2/Premium Rohtext.md index 2ce8f8d..67ed399 100644 --- a/Kapitel 2/Premium Rohtext.md +++ b/Kapitel 2/Premium Rohtext.md @@ -111,3 +111,173 @@ https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt > [!TIP] > Besonders im Creator-Umfeld lohnt es sich, Blocklisten schrittweise zu erweitern. > So bleibt das Streaming-Setup stabil, während du trotzdem mehr Schutz im Hintergrund bekommst. + +## Regex & Whitelisting auf Profi-Niveau + +Blocklisten sind mächtig, aber manchmal auch zu streng. +Dann landen wichtige Dienste wie WhatsApp, Facebook oder bestimmte Streaming-Anbieter auf der Blockliste – und plötzlich funktioniert etwas nicht mehr. +Mit Regex-Whitelisting können wir solche Probleme gezielt lösen, ohne gleich eine komplette Liste zu deaktivieren. + +### Warum Regex? +- **Flexibel**: Mit regulären Ausdrücken (Regex) kannst du Domains gezielt freigeben oder blockieren. +- **Granular**: Statt `facebook.com` komplett zu sperren oder freizugeben, kannst du nur bestimmte Subdomains erfassen. +- **Profi-Tool**: Für alle, die die volle Kontrolle wollen, ist Regex die präziseste Methode. + +### Beispiele für Whitelist (Regex) +Einige Dienste blockieren bei strengen Listen nicht mehr richtig. +Diese Regex-Ausdrücke stellen sicher, dass sie weiterhin funktionieren: + +``` +(^|\.)whatsapp\.com$ +(^|\.)facebook\.com$ +(^|\.)fbcdn\.net$ +(^|\.)spotify\.com$ +``` + +👉 *Screenshot geeignet: Pi-hole Domain Management mit Regex-Whitelist.* + +### Beispiele für Blacklist (Regex) +Manchmal willst du Domains blockieren, die nicht in Standardlisten auftauchen. +Auch dafür eignet sich Regex: + +``` +(^|\.)doubleclick\.net$ +(^|\.)adsystem\.com$ +(^|\.)track\.example\.com$ +``` + +### Best Practices +- **Testen statt blind übernehmen**: Regex-Einträge erst auf einzelnen Geräten ausprobieren. +- **Logs nutzen**: Im Pi-hole Query Log siehst du sofort, ob eine Domain blockiert wurde. +- **Dokumentieren**: Eigene Regex-Einträge notieren, damit du sie später nachvollziehen kannst. + +> [!TIP] +> Mit Regex kannst du Pi-hole zu einem extrem präzisen Filter ausbauen. +> Aber Vorsicht: Falsch gesetzte Regeln können ganze Dienste unbrauchbar machen. +> Lieber schrittweise erweitern und testen. + +## Performance & Sicherheit + +Ein stabiles und schnelles Pi-hole/Unbound-Setup ist für Content Creator genauso wichtig wie ein sicherer Betrieb. +In diesem Abschnitt zeigen wir, wie du das Beste aus deinem Setup herausholst und gleichzeitig für langfristige Stabilität sorgst. + +### Performance optimieren +- **Cache nutzen** + Unbound speichert einmal aufgelöste Domains im Cache. + Jeder weitere Aufruf ist dadurch sofort verfügbar. + In unserer Konfiguration ist das bereits aktiv, du musst nichts weiter tun. + +- **Prefetch aktivieren** + Mit `prefetch: yes` werden häufig genutzte Domains schon aktualisiert, bevor der Cache-Eintrag abläuft. + Ergebnis: schnelleres Laden bei Diensten, die du ständig nutzt (z. B. Twitch, YouTube, Discord). + +- **Threads anpassen** + In der Konfiguration kannst du mit `num-threads` die Anzahl paralleler DNS-Anfragen einstellen. + Standard ist 2 – auf schwacher Hardware reicht das, bei stärkeren Systemen kannst du mehr einstellen. + +👉 *Screenshot geeignet: Pi-hole Dashboard mit niedriger Latenzzeit.* + +### Sicherheit erhöhen +- **DNSSEC aktivieren** + Damit wird sichergestellt, dass DNS-Antworten nicht manipuliert wurden. + In unserer Unbound-Konfiguration ist `harden-dnssec-stripped: yes` bereits enthalten. + +- **Logging prüfen** + Standardmäßig schreibt Unbound Logs ins Systemjournal. + Für Performance kann man die Verbosität reduzieren (`verbosity: 0`). + Mehr Details bei Problemen: `verbosity: 2`. + +- **Updates automatisieren** + Halte dein System aktuell: + ```bash + apt update && apt upgrade -y + ``` + Optional lässt sich ein Cronjob einrichten, damit Updates regelmäßig im Hintergrund laufen. + +- **SSH absichern** + - Wenn du Root-SSH freigeschaltet hast: unbedingt starke Passwörter oder SSH-Keys verwenden. + - Besser: Root per SSH deaktiviert lassen und nur mit deinem `adminuser` + `sudo` arbeiten. + - Zugriffe auf Port 22 im Router blockieren, falls SSH nicht von außen benötigt wird. + +> [!TIP] +> Performance und Sicherheit sind keine Gegensätze: Ein schlankes, gut gepflegtes Setup läuft nicht nur schneller, sondern ist auch weniger anfällig für Angriffe oder Störungen. + +## Monitoring & Auswertung + +Pi-hole ist nicht nur ein Werbeblocker – es ist auch ein mächtiges Analyse-Tool für dein Netzwerk. +Gerade für Content Creator und Power-User ist es spannend zu sehen, wie sich Anfragen verteilen, welche Geräte am aktivsten sind und wo eventuell Optimierungsbedarf besteht. + +### Dashboard verstehen +- **Total Queries** → Gesamtanzahl aller DNS-Anfragen im Netzwerk. +- **Queries Blocked** → Anzahl der blockierten Anfragen (Werbung, Tracker). +- **Percent Blocked** → prozentualer Anteil geblockter Anfragen. +- **Domains on Blocklist** → wie viele Einträge aktuell von deinen Listen verarbeitet werden. + +👉 *Screenshot geeignet: Pi-hole Dashboard mit Beispielstatistiken.* + +### Query Log +Im **Query Log** siehst du jede Anfrage im Detail: +- Zeitstempel +- Client (Gerätename dank Conditional Forwarding) +- Domain +- Status (blocked / forwarded) + +So erkennst du schnell, welche Geräte welche Anfragen stellen. + +### Long-Term Data +Unter **Long-term data → Query Types** oder **Top Lists** kannst du dir Trends über Tage und Wochen ansehen: +- Welche Geräte stellen die meisten Anfragen? +- Welche Domains werden am häufigsten blockiert? +- Gibt es Spitzenlasten zu bestimmten Uhrzeiten (z. B. während eines Streams)? + +👉 *Screenshot geeignet: Long-Term-Statistiken mit Top Clients / Top Domains.* + +### Alerts & Zusatztools +- Über **Grafana + InfluxDB** lässt sich Pi-hole in ein umfangreiches Monitoring einbinden. +- Alerts können dich informieren, wenn ungewöhnlich viele Anfragen blockiert werden (z. B. Hinweis auf Malware). + +> [!TIP] +> Auch ohne Zusatztools liefert Pi-hole schon sehr aussagekräftige Statistiken. +> Für Creator kann es spannend sein, während eines Streams im Dashboard zu sehen, wie viel Tracking im Hintergrund geblockt wird. + +## Ergebnis + +Mit dem Premium-Teil von Kapitel 2 haben wir Pi-hole und Unbound nicht neu erfunden, aber deutlich **komfortabler und professioneller** gemacht. +Während der Free-Teil vor allem die Grundfunktion – Werbeblockierung und privater DNS-Resolver – abgedeckt hat, stand hier die **Feinabstimmung** im Vordergrund. + +### Was wir erreicht haben +- **Conditional Forwarding** + Statt nur nackter IP-Adressen sehen wir nun die echten Gerätenamen im Dashboard. + Das macht die Auswertung wesentlich übersichtlicher, besonders wenn mehrere PCs, Smartphones, Konsolen oder Streaming-Geräte im Netzwerk laufen. + +- **Erweiterte Blocklisten** + Wir haben gezeigt, wie man nicht einfach wahllos „alles aktiviert“, sondern mit Strategie arbeitet: eine solide Basisliste, ergänzt durch gezielte Speziallisten (z. B. Smart-TV oder Mobile-Tracking). + Damit filterst du mehr Werbung und Tracking, ohne dass wichtige Dienste unbrauchbar werden. + +- **Regex & Whitelisting** + Ein Profi-Werkzeug, um gezielt einzelne Domains oder Subdomains freizugeben oder zu blockieren. + Das verhindert, dass ganze Dienste wie WhatsApp oder Facebook „auseinanderfallen“, nur weil eine Blockliste zu streng ist. + +- **Performance & Sicherheit** + Mit Prefetch und Cache-Einstellungen läuft Unbound flotter. + DNSSEC sorgt dafür, dass Antworten nicht manipuliert wurden. + Updates und SSH-Absicherung runden das System ab und machen es fit für den dauerhaften Einsatz. + +- **Monitoring & Auswertung** + Im Dashboard und über Long-Term-Statistiken kannst du detailliert nachvollziehen, wie dein Netzwerk arbeitet: + Welche Geräte sind besonders aktiv? Welche Domains werden am meisten blockiert? + Für Creator ist das besonders spannend, weil man live sehen kann, wie viel Tracking im Hintergrund geblockt wird. + +### Schwerpunkt Komfort +Dieser Premium-Block war bewusst eher auf **Komfort und Übersichtlichkeit** ausgelegt. +Wir haben keine komplett neuen Funktionen hinzugefügt, sondern die bestehende Lösung besser nutzbar gemacht. +Das ist vor allem dann wertvoll, wenn mehrere Personen das Netzwerk nutzen oder wenn du als Creator schnell einen Überblick brauchst, ohne jedes Mal ins Detail zu gehen. + +### Ausblick +In Zukunft wird der Premium-Teil jedoch weiter ausgebaut. +Dann geht es nicht mehr nur um Komfort, sondern um **echte Zusatzfunktionen** und Integrationen, die weit über das hinausgehen, was wir hier gezeigt haben. +Ein Beispiel: erweiterte Netzwerkeinstellungen, die sich nahtlos mit dem Nginx Proxy Manager verbinden lassen – damit DNS und Reverse Proxy optimal zusammenarbeiten. + +> [!NOTE] +> Premium heißt hier: **mehr Komfort, bessere Übersicht, gezieltere Steuerung**. +> Doch das ist nur der Anfang – weitere Premium-Inhalte werden sich stärker auf zusätzliche **Funktionalität** konzentrieren.