NextDNS.io è un servizio DNS che permette di bloccare pubblicità, tracker e contenuti malevoli su tutti i device collegati ad internet. È una alternativa al progetto open source Pi-Hole che ho ampiamente descritto nel mio blog.
Da un mese ho effettuato la migrazione dalla mia installazione locale di PiHole a NextDNS, ma andiamo con ordine per spiegarvi il motivo di questa mia scelta.
Conosco NextDNS.io da Maggio 2019 poiché uno dei due fondatori (Romain Cointepas) mi contattò, in qualità di creatore della blocklist Phishing.army, invitandomi ad iniziare a provare la beta del loro servizio ed è indubbio che in un anno la qualità e le configurazioni disponibili sono aumentate e migliorate tantissimo.
Ma non sono stati i tanti nuovi servizi introdotti a convincermi a fare il passaggio, con PiHole mi trovavo bene e continuavo infatti ad aggiornare l’articolo con le blocklist che testavo e vi consigliavo.
A farmi prendere la decisione definitiva di migrare è stato un evento accaduto un venerdì dello scorso luglio, a casa dei miei genitori (dove un PiHole preveniva la diffusione di malware e ransomware) internet in apparenza non funzionava più. Così ricevo una chiamata e dopo un po’ di verifiche scopro che in realtà non era internet a non andare ma il Raspberry che ospitava Pi-Hole a non dare più segni di vita. Dovo un riavvio forzato le speranze che tutto si potesse risolvere telefonicamente si sono frantumate e così il sabato mattina di buon ora decido di recarmi a casa dei miei genitori scoprendo la più amara verità: il Raspberry Pi dopo 6 anni o più di funzionamento era morto.
Inizialmente mi ero già lanciato su Amazon per comprare un nuovo e fiammante Raspberry Pi ma non avrei speso meno di 40euro e mi avrebbe richiesto di tornare a casa dei miei genitori a breve termine per installare e configurare il nuovo raspi. La pigrizia a quel punto ha onestamente vinto, mi è venuto in mente di NextDNS.io l’ho configurato al volo sul FritzBox e dopo aver scelto le blocklist che preferivo avevo ridato internet ai miei genitori garantendoli (garantendomi) un giusto livello di protezione.
Da quel momento ho iniziato seriamente a esplorare il servizio e progressivamente ho sostituto anche la mia personale installazione di PiHole, indubbiamente vi sono alcuni aspetti positivi che mi hanno fatto abbandonare PiHole. Ma vendiamoli chiaramente uno ad uno.
Perchè NextDNS.io?
- Gestione (hardware e software) demandata a terzi;
- Utilizzabile remotamente con supporto ad Android e iOS (da iOS 14 anche su rete cellulare);
- Gestione della lista Threat Intelligence Feeds (protezione malware/minacce) demandata a terzi;
- Possibile blocco dei domini presenti in Google Safe Browsing;
- Possibile blocco dei domini con similarità omografiche (IDN Homograph) ovvero sostituzione della lettera Latina “e” con la lettera Cirillica “е”;
- Possibile blocco dei domini che sfruttano il typosquatting;
- Possibile blocco dei domini generati da algoritmi DGAs;
- Possibile blocco dei domini registrati negli ultimi 30gg (sempre più spesso vengono registrati nuovi domini per diffondere phishing o malware);
- Possibile blocco di un intero TLD (inclusi i suggerimenti di Spamhaus sui TLD più usati per attività illecite);
- Support al Encrypted DNS (DNS-over-HTTPS o DNS-over-TLS);
- Ottima gestione dei LOG.
Perchè PiHole?
- Richieste DNS più veloci (essendo in LAN);
- Maggior tutela della propria privacy (in particolare se configurato in modalità unbound);
- Possibilità di scegliere le proprie blocklist (su NextDNS bisogna attingere ad una selezione predefinita).
Quelle appena descritte sono le motivazioni che mi hanno portato a migrare a NextDNS.io, ma son ben felice di leggere nei commenti anche le vostre opinioni.
Configurazione NextDNS
Attualmente ho configurato il servizio come segue, seguendo comunque la logica delle blocklist consigliate in questo mio articolo:
- Security:
- Threat Intelligence Feeds
- Google Safe Browsing
- Cryptojacking Protection
- IDN Homograph Attacks Protection
- Typosquatting Protection
- Domain Generation Algorithms (DGAs) Protection
- Block Newly Registered Domains (NRDs)
- Block Child Sexual Abuse Material
- Privacy
- AdAway
- Block Disguised Third-Party Trackers
- Allow Affiliate & Tracking Links
- Settings
- EDNS Client Subnet
- CNAME Flattening
- Cache Boost (solo se non avete necessità di raggiungere siti web che cambiano spesso IP associato)
Maggiori informazioni sulle blocklist sfruttate, in particolar modo quelle che compongono il Threat Intelligence Feeds, potete trovarle sulla pagina GitHub del progetto.
ciao perche’ non usare invece opendns o similari?
Ciao, sostanzialmente perchè hai un livello di personalizzazione inferiore e alcuni non offrono la possibilità di sfruttare i DNS anche in mobilità con Android o iOS.
Certamente se dovesse morire il mio rock64 allora potrei passare anche io a nextdns, però nel frattempo non cambio l’accoppiata pi-hole + dnscrypt.
ps: le tue block list sono state utilissime, grazie!
Mi fa piacere, continuerò comunque a mantenere e a provare delle liste visto che NextDNS si basa sullo stesso concetto di blocklist. 😉 quindi quell’articolo sarà sicuramente aggiornato!
Ciao Andrea,
grazie per la dritta, era un pò che volevo configurare pi-hole ma non ho mai avuto il tempo… con nextdns invece è stato semplice ed ho potuto farlo anche nelle pause senza dover accendere il raspberry ecc..
Ma figurati, indubbiamente é un servizio comodo.
Uno dei motivi per cui uso piHole è il DHCP con la possibilità di distribuire nomi alla mia lan. Niente di simile su NextDNS?
Ciao Marco,
purtroppo non ha questa funzionalità essendo “esterno” alla tua rete. Potresti eventualmente scegliere un router che permette di distribuire nomi in lan in sostituzione del Raspi.
Ciao. Io a casa ho installato AdGuard sul NAS che a quel punto fa da DNS per la rete locale: a questo punto in casa sarei a posto o consigli comunque NextDNS?
Grazie
Ciao Francesco,
in casa sei sicuramente a posto. Potresti sfruttare NetxDNS in mobilità, se ne hai la necessità!
Grazie mille
Ciao Andrea grazie per avermi fatto conoscere questo servizio, ti faccio una domanda probabilmente ignorante: se uso un dns diverso da quello del mio ISP, il mio ISP vede comunque i siti visitati (sottoforma di ip) oppure no?
Ciao,
i sever DNS servono a “tradurre” i nomini di dominio in indirizzi IP. Se cambi i DNS di default del tuo operatore non potrà più rilevare le risoluzioni dei domini che richiedi ma comunque il traffico sarà sempre veicolato tramite il tuo provider, esso potrà quindi vedere l’IP che contatti. Ovvero l’IP che ospita il sito web che stai visitando.
Esatto, quindi quando leggo in giro che cambiare DNS è utile per non far sapere al tuo ISP i siti visitati è falso, in quanto l’ISP può sempre “tradurre” gli IP nel dominio corrispondente. O sbaglio?
Non sbagli 😉 il traffico passa pur sempre da loro.
Un altro Pro di Pihole: la possibiltà di filtrare con le regex! Sono un utente NextDNS e quella è una mancanza che si sente parecchio.
Ottima considerazione, grazie!
Le differenze tra la versione free e quella a pagamento Pro è solo la possibilità di queries illimitate?
Sì, puoi provare la versione free ed eventualmente fare l’upgrade se le query non sono sufficienti per il tuo utilizzo.
Grazie per avermi fatto conoscere nextdns, ho impostato i tuoi stessi filtri e mi sto trovando bene. Spero tu possa consigliarmi in futuro altre liste da usare su questo servizio.
Ps: volevo passare alla versione a pagamento ma non trovo da nessuna parte la possibilità di effettuare il pagamento, sapresti aiutarmi?
Grazie
Ciao, sicuramente manterrò aggiornato l’articolo con le blocklist che uso personalmente 😉
Per il pagamento dal pannello di controllo del tuo account dovresti poter configurare il metodo di pagamento, credo di aver fatto così io in passato!
Assurdo, avevo guardato ovunque tranne che li, grazie mille.
Domanda: Nel menu “Privacy/liste di blocco” perché solo AdAway e non anche la “lista di blocco NextDns per annunci e tracker” ? Grazie P.
La lista di NextDNS raccoglie dati anche dalla lista di Steven Black. Quest’ultima non è una lista esclusiva per adv e tracking (continente domini che veicolano malware, scam, etc) e a volte produce falsi positivi! Preferisco quindi avere una blocklist dedicata esclusivamente agli ADV in quella sezione e credo che AdAway sia quella più adatta.
Bellissimo articolo. Vorrei installarlo anche io sul mio D-LINK DVA 5592 (quello che da WindTre tanto per intenderci). Puoi fare una guida o un tutorial sull’argomento?
Ciao Gianluca,
onestamente non avendo tale router non credo di fare una guida e non so onestamente se è possibile configurarlo con i DNS over HTTPS di NextDNS.
Puoi dare un occhiata alla loro WiKi, oppure sicuramente se prendi un prodotto FritzBox è compatibile.
Grazie mille gentilissimo
Qualcuno ha problemi con l’app android di Amazon? Con nextdns e i filtri sopra impostati sembrerebbe non andare più.
Con Apple non ho alcun problema…
Ciao Andrea,
senti io ho un Fritzbox 7590, è facile configurarlo per l’uso con nextcloud? Si tratta solo di cambiare il server dns?
Comunque, tutto molto interessante, grazie.
Saluti, Piero.
Ciao Piero,
se guardi questo mio Tweet trovi una immagine riepilogativa, sono veramente due click.
Ciao, ti ringrazio per il tuo contributo con Phishing Army! Continuerai a supportarlo?
Ciao Marco,
grazie molte per il supporto!
Assolutamente sì, Phishing.army continuerà ad essere supportato! 😉
Lo imposterò a casa dei miei genitori, per la mia preferisco Pi-hole, mi piace avere il controllo.
Leggo solo ora questo articolo bellissimo…attualmente ho i parametri dns di adguard installati sulla vodafone revolution e il dns privato sempre di adguard sul mi 9t…a distanza di un anno consiglia ancora questo servizio? essendo in 4 in famiglia immagino mi servirebbe la versione pro
Ciao Luigi,
uso ancora con successo NextDNS…compresa famiglia e parenti 😉
Non ho mai provato AdGuard quindi non potrei fare un paragone, ma sicuramente puoi provare NextDNS in forma gratuita e poi se ti piace fare l’upgrade!