5 poin oleh GN⁺ 2025-05-06 | 5 komentar | Bagikan ke WhatsApp
  • Pada 2024, web dan perangkat lunak makin melelahkan karena iklan, pelacakan, widget analitik, banner cookie, dan komunikasi eksternal tanpa henti, dan Pi-hole adalah cara untuk menguranginya di tingkat jaringan
  • Pi-hole bekerja sebagai DNS sinkhole di jaringan rumah atau kantor, memblokir pelacak, CDN iklan, dan permintaan domain yang tidak diinginkan untuk seluruh perangkat
  • Dalam lingkungan penggunaan nyata, 66,6% dari seluruh trafik diblokir, dan disebutkan tidak ada dampak fungsional pada pekerjaan sehari-hari
  • Konfigurasi memerlukan Raspberry Pi dan kartu microSD, periferal untuk pengaturan awal, instalasi Pi-hole, serta pengaturan jaringan agar router mengirim permintaan DNS ke Pi-hole
  • Pi-hole saja sulit memblokir semua iklan, jadi untuk layanan seperti YouTube, berguna memakai pemblokir iklan browser seperti uBlock Origin bersama-sama

Mengapa menggunakan Pi-hole

  • Selama browsing web dan penggunaan perangkat lunak, pengumpulan data dan pelacakan yang tidak diinginkan meningkat tajam, dan pengguna ingin menghindari situasi di mana komputer, browser, dan sinyal lain dipakai untuk profiling tanpa persetujuan
  • Pengalaman online pada 2024 umumnya dipenuhi iklan, skrip berbahaya, widget analitik, widget chatbot, banner persetujuan cookie yang menutupi halaman, dan perangkat lunak yang berkomunikasi ke luar setiap kali diklik
  • Teknologi iklan telah berubah ke arah yang terlalu mengeksploitasi pengunjung, dan sebagai respons, pendekatan menempatkan Pi-hole di jaringan rumah diusulkan
  • Pi-hole sudah lama dikenal sebagai proyek, dan merupakan alat yang telah dibahas selama bertahun-tahun oleh Jeff Atwood, Troy Hunt, Scott Hanselman, Scott Helme, dan lainnya

Cara kerjanya di jaringan

  • Pi-hole biasanya dijalankan di Raspberry Pi, tetapi secara teknis juga bisa dijalankan di luar Pi
  • Ia bekerja seperti proksi/sinkhole DNS di dalam jaringan
    • Saat pengguna mengakses https://example.com, permintaan terlebih dahulu melewati Pi-hole
    • Setelah itu alurnya berlanjut dengan menanyakan informasi domain ke server DNS otoritatif
  • Tujuannya adalah memblokir permintaan domain yang tidak ingin diakses di jaringan
    • pelacak
    • CDN penyaji iklan
    • domain yang tidak ingin dibiarkan mengirim data dari rumah atau tempat usaha
  • Di jaringan nyata, 66,6% dari seluruh trafik diblokir, dan tidak ada dampak fungsional pada pekerjaan yang dilakukan pengguna

Komponen yang dibutuhkan untuk instalasi

  • Menyiapkan Pi-hole tidak memerlukan investasi besar, dan biaya terbesar bukan perangkatnya melainkan waktu untuk konfigurasi dan verifikasi
  • Konfigurasi dasarnya sebagai berikut
    • Raspberry Pi
    • starter kit CanaKit sekitar 155 dolar AS
      • Termasuk kartu microSD yang diperlukan untuk pengaturan
    • monitor, mouse, dan keyboard untuk dihubungkan saat pengaturan awal Raspberry Pi
    • waktu untuk mengikuti panduan instalasi dasar Pi-hole
    • waktu untuk mengatur router agar permintaan DNS jaringan melewati Pi-hole
  • Tim Pi-hole telah membuat proses instalasi sesederhana mungkin

Mengelola daftar domain yang diblokir

  • Setelah perangkat keras dan perangkat lunak dipasang, router harus dikonfigurasi agar tujuan permintaan DNS mengarah ke perangkat Pi-hole
  • Langkah berikutnya adalah menentukan domain mana yang akan diblokir
    • Anda bisa melihat langsung permintaan yang melintas di jaringan lalu memutuskan
    • Anda juga bisa memakai daftar blokir komunitas
  • Firebog direkomendasikan sebagai titik awal, dan menyediakan banyak daftar domain yang diteliti dan dikumpulkan komunitas
  • Tidak perlu menerapkan semua daftar tanpa pengecualian
    • Beberapa fungsi bisa rusak atau tidak berjalan
    • Di log kueri real-time Pi-hole, Anda bisa memeriksa klien mana yang mencoba mengakses domain tertentu
    • Sesuai kebutuhan, domain bisa diblokir atau diizinkan secara dinamis
  • Anda bisa memblokir domain yang memenuhi kondisi tertentu dengan regular expression
    • Ada contoh memblokir TLD .cn, .ru, .hk dengan alasan sering melihat banyak trafik berbahaya yang berasal dari Rusia, Tiongkok, dan Hong Kong
(^|\\.)(cn|ru|hk)$
  • Jika aturan ini diterapkan, selama permintaan DNS melewati Pi-hole, komunikasi menuju server dengan TLD tersebut tidak akan keluar dari jaringan
  • TLD negara bukan satu-satunya vektor serangan malware, tetapi memblokirnya diperlakukan sebagai langkah kecil untuk meningkatkan postur keamanan jaringan secara keseluruhan

Mencegah bypass DNS

  • Beberapa perangkat mungkin mencoba melewati DNS yang telah diatur pengguna untuk menayangkan iklan atau mengumpulkan data analitik
  • Cara menanganinya berbeda tergantung perangkat keras router yang digunakan
  • Di lingkungan yang memakai ekosistem UniFi dan UDM Pro, ada contoh masuk ke UDM lewat SSH lalu menjalankan aturan iptables
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p tcp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP
iptables -t nat -A PREROUTING ! -s YOUR_PI_HOLE_IP -p udp --dport 53 -j DNAT --to YOUR_PI_HOLE_IP


# Make sure that we skip 192.168.1.1 since that seems to break UniFi Protect
iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.1.2-192.168.254.254 -j MASQUERADE
  • Skrip ini mengalihkan semua trafik DNS di port 53 ke Pi-hole, dan menerapkan network address masquerading dengan aturan NAT
  • Perintah pertama melakukan destination NAT untuk paket DNS TCP ke IP Pi-hole
    • -t nat: menentukan aturan di tabel NAT
    • -A PREROUTING: menambahkan aturan ke chain pemrosesan paket masuk sebelum routing
    • ! -s YOUR_PI_HOLE_IP: mengecualikan paket yang berasal dari Pi-hole itu sendiri
    • -p tcp: diterapkan pada paket TCP
    • --dport 53: mencocokkan paket dengan tujuan port DNS 53
    • -j DNAT: melompat ke target DNAT yang mengubah alamat IP tujuan
    • --to YOUR_PI_HOLE_IP: mengalihkan paket ke IP Pi-hole
  • Perintah kedua menerapkan perlakuan yang sama pada paket UDP
  • Perintah ketiga adalah aturan MASQUERADE yang mengubah IP sumber dari rentang IP internal yang ditentukan menjadi IP router
    • Rentang contoh adalah dari 192.168.1.2 hingga 192.168.254.254, dan bisa disesuaikan dengan jaringan masing-masing
    • 192.168.1.1 dikecualikan agar UniFi Protect tidak rusak
  • Hasilnya, semua permintaan DNS TCP dan UDP dari perangkat jaringan, kecuali yang berasal dari Pi-hole sendiri, akan dialihkan ke Pi-hole

Menggunakannya bersama pemblokir iklan browser

  • Meski Pi-hole berada di antara perangkat jaringan dan internet, pemblokir iklan tepercaya seperti uBlock Origin tetap bernilai
  • Untuk layanan seperti YouTube, ketika ingin tetap memakai layanannya tanpa iklan, pemblokiran di tingkat domain saja sulit menjadi solusi
  • Pi-hole digunakan sebagai lapisan tambahan di samping pemblokir iklan browser untuk memblokir konten dan permintaan yang tidak diinginkan
  • Pemblokir iklan browser juga bisa memblokir elemen UI tertentu seperti iklan manual atau konten sponsor yang dimuat dari domain utama situs web

Evaluasi setelah penggunaan

  • Setelah Pi-hole dipasang di jaringan, efeknya begitu besar sehingga sulit untuk kembali ke kondisi sebelumnya
  • Konfigurasi yang sama juga diterapkan ke jaringan orang tua dan mertua
  • Disebutkan bahwa alat ini akan terus direkomendasikan karena memberikan perbedaan besar pada kualitas hidup online

5 komentar

 
techiemann 2025-05-08

Meski tidak harus memakai Pi-hole, kalau bisa sebaiknya gunakan DNS yang sudah memblokir iklan.

 
winterjung 2025-05-07

http://youtube.com/watch?v=OvfnqFXRybk Ternyata cara memasang dan menggunakan adguard seperti ini juga bagus.

 
ndrgrd 2025-05-07

Saya sudah mencoba ketiganya—Adguard Home, PiHole, dan NextDNS—dan menurut saya Adguard Home yang paling bagus.
Kalau pakai permintaan paralel dan cache yang memadai, permintaan DNS bisa diproses dalam waktu kurang dari 10 ms.

 
preserde 2025-05-07

Ini layanan yang cukup bagus dari sudut pandang pemblokiran iklan. Namun, seperti juga disebut di artikel, kalau iklan diblokir ternyata ada cukup banyak layanan yang diam-diam jadi tidak berfungsi, jadi dalam situasi seperti ini iklannya harus dimatikan dan semacamnya... Kalau hanya saya sendiri mungkin tidak masalah, tetapi kalau istri saya memakainya lalu tidak bisa dipakai dan jadi kesal, itu juga merepotkan, jadi saya hanya menggunakannya di komputer pribadi saya. Hiks hiks

 
baeba 2025-05-07

Oh.. terima kasih..