Ich muss
@Nilson mit Nachdruck zustimmen! Wenn du den DNS offen ins Netz stellst, hast du einen Open DNS Resolver und es wird nur wenige Tage dauern, bis ein Skriptkiddie deinen DNS gefunden hat und für eine
DNS Amplification Attack missbraucht.
Du solltest also dafür sorgen, dass pihole entweder gar nicht erst auf der öffentlichen IP des Servers reagiert, oder aber du passt die Firewall des Servers so an, dass er UDP/TCP 53 - also DNS-Requests - vom öffentlichen Interface blockiert und nur auf dem tun-Adapter von OpenVPN erlaubt.
Just in case: Wenn du nicht weißt wovon ich rede, dann solltest du es dir 3, 4 oder auch 27 Mal überlegen, einen Server im www zu betreiben. Unter einer DNS Attacke leidest nämlich nicht du, sondern andere. Lässt man das durch eine unsachgemäße Handhabung eines Servers zu, kann der Hoster dir den Server dicht machen, weil es im herzlich egal ist ob
du eine DNS-Attacke gefahren hast oder jemand anderes mit deinem Server Schlitten fährt.
Ich stand übrigens durch einen Denkfehler meinerseits vor demselben Problem. Ursprünglich hatte ich pihole nativ auf meinem vServer installiert und auch wie erwähnt abgesichert. Dann entschied ich mich dazu, mal Docker auszuprobieren und ließ pihole im Docker-Container laufen. Dumm nur, dass Docker mit einem virtuellen Subnetz arbeitet und die Firewall dann
anders blocken muss als bei einer nativen Installation. Es dauerte 2 Tage bis ich von meinem Hoster eine Mail bekam, die darauf hinwies, dass ich es doch bitte unterlassen solle, einen offenen DNS zu betreiben - sonst Kündigung.
