Site blokkeren met DMP

B

BartDG

UniFier
18 okt 2023
24
7
3
Hoi allen,

Ik zit even vast... Ik heb een Dream Machine Pro als hart van mijn Unifi setup, en nu zou ik tussen bepaalde uren enkele sites willen blokkeren op de PC van mijn zoon, voornamelijk Youtube en Character.ai.

Ik ga daarvoor naar de Settings -> Security -> Traffic & Firewall rules en ik gaf dit in:

1714665664635.png

Vreemd leek dat niet te werken. Wel, half wel en half niet. Wanneer ik pingde naar youtube.com, dan ging het niet meer. Maar wanneer ik gewoon in de browser naar Youtube.com ging, dan lukte dat nog prima. En uiteraard is het dat wat telt.
Wat wel raar is: een uur later probeerde ik het nog eens, en toen was het wel geblokkeerd? Is het normaal dat dit zo lang duurt vooraleer het werkt? Uitschakelen was dan aan de andere kant weer instant: als ik de rule wegdeed had ik onmiddellijk weer Youtube.

De tweede site is character.ai. Die zit niet in de appslijst van Unifi, dus heb ik dat zo gedaan:


1714665858042.png

Ik heb hier opzettelijk "all devices" gekozen en "always", maar toch is de site nog steeds gewoon bereikbaar in de browser. Wat doe ik hier verkeerd?
Hier lukt zelfs pingen naar "character.ai" ook gewoon nog.

Ik heb ook eens geprobeerd om een IP adres te blokkeren, nl 104.18.223.226, wat het IP adres is van de site van character.ai, en dan kan ik er inderdaad niet meer naar pingen, maar eens temeer is de site nog steeds gewoon bereikbaar in de browser.

Wat doe ik hier fout?

Bedankt!
 
Probeer het eerst eens zonder schedule. Werkt het dan? Bij mij wel in elk geval.
 
BartDG zei:
Vreemd leek dat niet te werken. Wel, half wel en half niet. Wanneer ik pingde naar youtube.com, dan ging het niet meer. Maar wanneer ik gewoon in de browser naar Youtube.com ging, dan lukte dat nog prima. En uiteraard is het dat wat telt.
Wat wel raar is: een uur later probeerde ik het nog eens, en toen was het wel geblokkeerd? Is het normaal dat dit zo lang duurt vooraleer het werkt? Uitschakelen was dan aan de andere kant weer instant: als ik de rule wegdeed had ik onmiddellijk weer Youtube.

...
Wat doe ik hier fout?

Bedankt!
Klik om te vergroten...
Ik denk dat je simpelweg last hebt van DNS-cache. Een client haalt niet elke keer dat 'iets' geresolved moet worden het adres op bij een DNS server, maar kijkt of de 'Time To Live' van het record dat de vorige keer opgezocht is nog geldig is. Als dat het geval is wordt niet opnieuw aan DNS gevraagd wat het adres is.

Je kunt dat niet precies timen (omdat niet elke site dezelfde TTL heeft) maar je zult het schedule wat moeten verschuiven om het gewenste resultaat te krijgen, maar het wordt nooit exacte wetenschap op basis van een in gebruik zijnde systeem; enige wat je kunt doen is een scheduled task maken op een client die de DNS-cache leeg maakt. Prima te doen op Windows en waarschijnlijk ook wel op Linux, een stukje lastiger op een i-device of Android.
 
Bij Youtube is er ook Youtube Kids. Mogelijk moet je die tezamen blokkeren.
Onderstaande regel werkt bij mij direct:

Schermafbeelding 2024-05-02 203209.png

Je hebt geen andere zaken als PiHole geïnstalleerd? Of voor deze regel al een andere regel die Youtube doorlaat voordat hij bij de blokkeerregel komt?
 
Davey400 zei:
Ik denk dat je simpelweg last hebt van DNS-cache. Een client haalt niet elke keer dat 'iets' geresolved moet worden het adres op bij een DNS server, maar kijkt of de 'Time To Live' van het record dat de vorige keer opgezocht is nog geldig is. Als dat het geval is wordt niet opnieuw aan DNS gevraagd wat het adres is.

Je kunt dat niet precies timen (omdat niet elke site dezelfde TTL heeft) maar je zult het schedule wat moeten verschuiven om het gewenste resultaat te krijgen, maar het wordt nooit exacte wetenschap op basis van een in gebruik zijnde systeem; enige wat je kunt doen is een scheduled task maken op een client die de DNS-cache leeg maakt. Prima te doen op Windows en waarschijnlijk ook wel op Linux, een stukje lastiger op een i-device of Android.
Klik om te vergroten...
Dat kan en ga ik zeker eens proberen, maar ik denk het eigenlijk niet, omdat dat tweede voorbeeld meer dan een dag ingesteld is en nog steeds niet werkt. Maar ik ga het wel eens proberen. Als me niet vergis was dat met ipconfig /flushdns
 
Hofstede zei:
Bij Youtube is er ook Youtube Kids. Mogelijk moet je die tezamen blokkeren.
Onderstaande regel werkt bij mij direct:

Bekijk bijlage 9407

Je hebt geen andere zaken als PiHole geïnstalleerd? Of voor deze regel al een andere regel die Youtube doorlaat voordat hij bij de blokkeerregel komt?
Klik om te vergroten...
Goeie tip, ga ik zeker ook eens testen. Maar nee, geen pihole. DNS staat op Google's DNS 8.8.8.8
 
Update : ik heb het met de hulp van Unifi support kunnen oplossen. Blijkt dat, om deze feature te doen werken, dat je dan de DNS server van je Unifi op "Auto" moet laten staan. Ik had deze gewijzigd naar 1.1.1.1 en 8.8.8.8. Dat betekent meteen ook dat je deze feature niet zal kunnen gebruiken als je een PiHole draait, want dan draai je effectief je eigen DNS server. Jammer dat dit nergens vermeld staat op de Unifi FAQ, dit is toch belangrijke info zou ik denken.

Ook goed om weten: dit begint niet instant te werken nadat je het hebt ingeschakeld. (blokkeren op App niveau lijkt ook sneller te werken dan blokkeren op Domein niveau - Youtube blokkeren ging sneller dan character.ai) Hoe lang het dan precies duurt weet ik zelf niet, alleszins langer dan 15 minuten, want na een kwartier had ik het opgegeven en was ik iets anders gaan doen. Later op de dag controleerde ik het nog eens en het was ondertussen beginnen werken. Uitschakelen werkt dan weer instant, dat is onmiddellijk gepiept.
 
  • Leuk
Waarderingen: Davey400
Dat ‘niet instant’ is zo goed als zeker de al eerder aangehaalde TTL van de officiële DNS records. Bij blokkade krijg je records van het blokkerende device, maar daar kijkt de client pas naar als de TTL verstreken is.
Het blokkerende antwoord op een DNS verzoek blijft toch lokaal en belast verder niemand en kan dus een hele korte TTL hebben, waardoor opheffen ook heel snel effectief is.

Goed dat je het opgelost hebt!
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.

Vergelijkbare onderwerpen

D
blokkeren app / site 123movie
Reacties
5
Weergaven
177
Routers
Eddie the Eagle
Eddie the Eagle
M
Unifi Site-to-Site OpenVPN
Reacties
0
Weergaven
240
Routers
melvink
M
S
Site 2 site VPN
Reacties
2
Weergaven
662
Routers
sfillekes
S
M
van USG3 naar UXG Lite alleen resolved geen hostnames
Reacties
4
Weergaven
319
Routers
mennog
M
R
UDM/Pro Eindelijk site to site VPN (site magic group)
Reacties
1
Weergaven
913
Routers
Eddie the Eagle
Eddie the Eagle
Bovenaan Onderaan
Terug