Pi-hole

Обзор

Pi-hole — сетевой блокировщик рекламы на уровне DNS. Он отфильтровывает рекламные и трекинговые домены до того, как устройства установят соединение, снижая нагрузку на сеть и повышая приватность. Решение подходит для дома, офиса и малого бизнеса, устанавливается на Raspberry Pi, любой Linux или в Docker. В обзоре разбираем, что это, сценарии использования, архитектуру и особенности, а также практические заметки.

Что это?

Pi-hole — это локальный DNS-сервер, который «поглощает» (sinkhole) запросы к известным рекламным и трекинговым доменам. Вместо реального IP такие домены возвращают пустой адрес, поэтому баннеры, аналитика и нежелательные скрипты просто не загружаются.

Технически решение состоит из движка FTL (форк dnsmasq с расширениями), «гравитации» (механизма загрузки и агрегации списков блокировки) и веб-интерфейса администрирования. Pi-hole может работать как:

• основной DNS в вашей сети (рекомендовано);
• дополнительный DHCP-сервер, если роутер ограничен;
• upstream-агрегатор к внешним публичным DNS (Cloudflare, Quad9, Google, OpenDNS) или собственному рекурсивному resolver’у (Unbound).

Сценарии использования (Use cases)

• Домашняя сеть: блокировка рекламы на Smart TV, консолях, приставках, IoT-устройствах и смартфонах без установки отдельных расширений.
• Малый офис/бизнес: снижение отвлекающих факторов, трекеров и рисков загрузки вредоносных ресурсов; экономия трафика и ускорение веб-страниц.
• Образовательные учреждения: единая политика контента, минимизация навязчивой рекламы на школьных ПК и планшетах.
• Приватность и безопасность: урезание телеметрии и трекеров, добавление анти-малварных списков для превентивной фильтрации.
• Мобильная работа: проброс DNS через VPN/WireGuard на Pi-hole, чтобы получать защиту вне офиса/дома.
• Разработка и тестирование: управление локальными DNS-записями, переопределение доменных имён и быстрый A/B контроль блоклистов.

Составляющие и особенности

• Архитектура и компоненты:
  • FTL (с интегрированным dnsmasq) обслуживает DNS и, при необходимости, DHCP.
  • Pi-hole Core (Gravity) загружает и агрегирует блоклисты, поддерживает регулярные выражения и групповые политики.
  • Веб-интерфейс (AdminLTE) для настройки, мониторинга и аналитики.
• Блоклисты и фильтры:
  • Поддержка множества публичных списков; гибкая настройка разрешений/исключений (allow/deny), regex-фильтры.
  • Групповое управление: разные правила для разных клиентов или сегментов сети.
• DNS/резолверы:
  • Upstream-провайдеры на выбор (Cloudflare, Quad9, Google, OpenDNS и др.).
  • Рекомендованная интеграция с Unbound для локального рекурсивного и приватного резолвинга.
  • DNS-over-HTTPS/DoH возможен через внешний прокси (например, Cloudflared); нативного DoH в Pi-hole нет.
  • Опционально DNSSEC (через совместимый upstream или Unbound).
• DHCP и сеть:
  • Встроенный DHCP-сервер для случаев, когда роутер не позволяет задать кастомный DNS.
  • Conditional forwarding к роутеру для разрешения локальных имён.
  • IPv4/IPv6 поддержка.
• Аналитика и журналирование:
  • Реальные графики запросов, топ доменов/клиентов, долгосрочная статистика.
  • Экспорт/импорт (Teleporter) настроек и списков.
• Производительность и надёжность:
  • Лёгкий и экономичный: уверенно работает на Raspberry Pi и в контейнере.
  • Простое масштабирование: два экземпляра для отказоустойчивости, указанные как первичный/вторичный DNS.
• Администрирование и интеграции:
  • CLI-команды (например, pihole -g для обновления «гравитации»), API для автоматизации.
  • Интеграции с Unbound, Cloudflared, DNSCrypt-proxy и сторонними мониторингами.

Заметки

Кому подходит (Целевая аудитория)

• Домашним пользователям, которым нужна защита от рекламы на всех устройствах.
• Малому бизнесу, где важны скорость, стабильность и приватность без сложной инфраструктуры.
• IT-админам и энтузиастам для централизованного контроля DNS и политики контента.

Плюсы

• Блокировка на уровне сети: «работает везде», включая устройства без расширений.
• Приватность: меньше трекеров и телеметрии.
• Производительность: страницы грузятся быстрее, меньше трафика на рекламные ресурсы.
• Гибкость: групповые политики, regex, локальные записи, интеграция с Unbound.
• Бесплатно и с открытым исходным кодом, активное сообщество.

Минусы

• Не блокирует «первопартийную» рекламу, приходящую с того же домена (например, YouTube-реклама часто неотделима от основного контента).
• Приложения с встроенным DoH/DoT или жёстко прописанным DNS могут обходить фильтрацию.
• Иногда возможны ложные срабатывания списков, требующие ручных исключений.
• Один экземпляр — единая точка отказа; стоит поставить второй DNS для резервирования.

Требования и установка

• Поддерживаемые среды: Raspberry Pi (Raspbian), Debian/Ubuntu, другие Linux, Docker, виртуальные машины.
• Типовой процесс:
  • Установка (скриптом или через Docker-образ); обновление «гравитации» списков.
  • Перевод сети на Pi-hole как основной DNS (через роутер или Pi-hole DHCP).
  • Настройка upstream DNS (Cloudflare/Quad9/Unbound), добавление блоклистов, групп и исключений.
• Для Docker: корректно пробросить порт 53/UDP/TCP, учесть IPv6 и персистентные тома для данных.

Стоимость и лицензия

• Бесплатно, открытый исходный код; проект развивается сообществом и поддерживается пожертвованиями.

Альтернативы

• AdGuard Home (похожий по классу продукт, с собственным UI и функциями).
• NextDNS (облачный DNS-фильтр, без локальной установки).
• OpenDNS (облачные политики DNS, корпоративные тарифы).
• uBlock Origin и другие браузерные блокировщики (пер-устройство, не покрывают Smart TV/IoT).
• pfBlockerNG на pfSense (если используете pfSense как маршрутизатор).

Производительность и масштабирование

• Raspberry Pi 3/4 обычно хватает для домашних/малых офисов.
• Для надёжности укажите два Pi-hole (или Pi-hole + другой DNS) в настройках DHCP.
• Чтобы снизить износ SD-карт: ограничьте длительное логирование или используйте внешний SSD/персистентный том.

Советы по эксплуатации

• Используйте Unbound как локальный рекурсивный резолвер для максимальной приватности и валидации.
• Отключайте DoH в браузерах политиками, либо блокируйте известные DoH-эндпоинты, чтобы избежать обхода.
• Поддерживайте список блоклистов аккуратно: качество важнее количества, проверяйте ложные срабатывания.
• Регулярно делайте бэкап через Teleporter.

Типичные проблемы и решения

• После установки сеть «не видит» Pi-hole: убедитесь, что роутер действительно выдаёт его как DNS (или включён Pi-hole DHCP).
• Рекламные домены всё ещё проходят по IPv6: проверьте IPv6-настройки и RA/DHCPv6.
• YouTube и встроенная реклама: зачастую технически неразделима; используйте дополнительные инструменты (браузерные расширения) для этого кейса.

Безопасность и приватность

• Pi-hole обрабатывает только DNS; он не перехватывает HTTPS-трафик и не расшифровывает его.
• Админ-панель по умолчанию доступна локально; не публикуйте её в интернет и используйте пароль.
• Логи содержат статистику запросов (доменные имена); ограничивайте доступ и, при необходимости, включайте анонимизацию.