DNS Sinkhole

Kolla på AdGuard eller nextdns, de gör samma sak utan att behöva sätta upp en egen server.

Det fungerar vanligtvis på mobilreklam, det beror lite på hur utvecklarna har implementerat reklamen.

I praktiken fungerar det rätt bra. Jag tror du kommer bli nöjd och tycka det var värt besväret om du sätter upp en Pi-Hole eller en AdGuard Home.

Men...

DNS sinkhole-lösningar blockerar inget. Det bara ger ett falskt svar på en DNS-förfrågan. Vilket förutsätter att den som frågar faktiskt använder operativsystemets inställning för DNS och alls gör en DNS-förfrågan för att översätta host-namn till IP-nummer.

För att verkligen tvinga fram att alla typer av DNS-förfrågningar (port 53, DNS-över-HTTPS och DNS-över-TLS) går bara till den DNS-server där man kan kontrollera svaren så behövs det en brandvägg med väluppdaterade regler. Brandväggen kan då också blockera alla IP där det finns reklam att hämta, så att den som försöker hämta reklamen inte kan gå direkt på IP:t. Om enheten (mobilen) är utanför ens brandvägg behöver man först VPN:a in bakom den så att den kan nyttjas.

Den enda lösningen jag känner till som verkligen fixar det är tillägget banIP för OpenWrt. Tillägget laddar ner blocklistor, som alltså blockar på IP-nummer-nivå, inte på hostnamn-nivå.

Samma herre som gör det tillägget gör också tillägget adblock till OpenWrt, som är en vanlig DNS sinkhole-lösning, som tillämpar DNS-hijacking på alla DNS-förfrågningar som passerar OpenWrt-routern.

Kombinationen/integrationen mellan lösningarna är den verkliga styrkan, att man i brandväggen kan hindra utgående uppkopplingar till IP-nummer som inte är uppslagna via den lokala DNS:en, som man själv alltså kontrollerar via hostnamn-blocklistor. Den lösningen tror jag bara är möjlig om man kör Linux-brandväggen och DNS på samma burk - just denna lösningen nyttjar en specifik dnsmasq-funktionalitet.

Nackdelen med att köra bara den rena brandväggslösningen är att den kan ge en hel del falska positiver om man väljer in de största IP-blocklistorna. oisdbigv4 blockar till exempel sweclockers IP och några av IP-blocklistorna blockar andra blocklistors sajter.

Man behöver (för just den nämnda lösningen i alla fall) en router som kör OpenWrt och har rejält med RAM (nåja, >= 256 MB, helst mer). Brandväggslösningen fungerar inte, precis som DNS sinkhole, på reklam som laddas från samma server som övrigt innehåll på en webbsida - men det är ju inte ett problem för reklam i appar.

Enklaste lösningen är att installera NetGuard, det är en gratis-app, källkoden finner du på länken nedan. Med denna installerad så kan du blockera internet helt per app på plattan/mobilen. Appen löser detta genom att skapa en intern VPN-loop via av appen kontrollerad VPN-tunnel.

Så du aktiverar helt sonika NetGuard via skjutreglaget och sen klickar du bara på wifi ikonen vid varje app så det blir ett streck över denna och då är internet blockerad för bara just den appen. Detta fungerar superfint för exempelvis Talking Tom-spelen som är helt hopplösa att spela utan att stänga av wifi helt.

https://play.google.com/store/apps/details?id=eu.faircode.net...
https://github.com/M66B/NetGuard

Edit: Vissa spel vägrar att starta om man blockerar internet helt, så för dessa kan du exempelvis lösa genom att aktivera "Privat DNS" under nätverksinställningar och ange en extern DNS-tjänst med filtrering, jag använder mig utav "dns.adguard.com" på dotterns platta eftersom NetGuard blockering av internet gör att "12 Locks"-spelen fryser sig vid uppstart om de inte får internet. Så kombination av "Privat DNS" och NetGuard ser jag som lösningen på alla dessa reklamnedpestade spel som dottern absolut prompt vill spela.