docker pi hole

• Wachtturm nutzen? Siehe den Hinweis zum Wachtturm am Ende dieser Readme-Datei

• Wenn Sie ab 2023.01 Änderungen für lighttpd über eine external.conf -Datei vornehmen, muss diese Datei nun stattdessen in /etc/lighttpd/conf-enabled/whateverfile.conf zugeordnet werden

• Aufgrund eines bekannten Problems mit Docker und libseccomp <2.5 können beim Ausführen 2022.04 und höher auf Hostsystemen mit einer älteren Version von libseccomp2 (z. B. Debian/Raspbian Buster oder Ubuntu 20.04 und möglicherweise CentOS 7) Probleme auftreten.

  Die erste Empfehlung besteht darin, Ihr Host-Betriebssystem zu aktualisieren, das eine aktuellere (und korrigierte) Version von libseccomp enthält.

  Wenn Sie dies absolut nicht tun können, haben einige Benutzer von Erfolgen bei der Aktualisierung libseccomp2 über Backports unter Debian oder ähnlichem über Updates unter Ubuntu berichtet. Sie können diese Problemumgehung auf eigenes Risiko ausprobieren (Beachten Sie, dass Sie möglicherweise auch die neueste Version docker.io benötigen (weitere Details finden Sie hier).

• Einige Benutzer haben Probleme mit der Verwendung des Flags --privileged in 2022.04 und höher gemeldet. TL;DR, verwenden Sie diesen Modus nicht und verwenden Sie stattdessen explizit die zulässigen Großbuchstaben (falls erforderlich).

1. Kopieren Sie docker-compose.yml.example nach docker-compose.yml und aktualisieren Sie es nach Bedarf. Siehe Beispiel unten: Docker-Compose-Beispiel:

 # More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services :
  pihole :
    container_name : pihole
    image : pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports :
      - " 53:53/tcp "
      - " 53:53/udp "
      - " 67:67/udp " # Only required if you are using Pi-hole as your DHCP server
      - " 80:80/tcp "
    environment :
      TZ : ' America/Chicago '
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes :
      - ' ./etc-pihole:/etc/pihole '
      - ' ./etc-dnsmasq.d:/etc/dnsmasq.d '
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add :
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart : unless-stopped

2. Führen Sie docker compose up -d aus, um Pi-Hole zu erstellen und zu starten (Syntax kann auf älteren Systemen docker-compose sein)
3. Verwenden Sie die Pi-hole-Web-Benutzeroberfläche, um das Schnittstellen-Abhörverhalten der DNS-Einstellungen in „Auf allen Schnittstellen abhören, alle Ursprünge zulassen“ zu ändern, wenn Sie die standardmäßige bridge -Netzwerkeinstellung von Docker verwenden. (Dies kann auch erreicht werden, indem die Umgebungsvariable DNSMASQ_LISTENING auf all gesetzt wird)

Hier ist ein entsprechendes Docker-Ausführungsskript.

Ein Docker-Projekt zur Erstellung eines leichten x86- und ARM-Containers mit Pi-Hole-Funktionalität.

1. Installieren Sie Docker über diese Links für Ihr x86-64-System oder ARMv7-System. Docker-Compose wird ebenfalls empfohlen.
2. Verwenden Sie das obige Schnellstartbeispiel und passen Sie es bei Bedarf an.
3. Genießen!

Dieser Container verwendet zwei gängige Ports, Port 53 und Port 80, daher kann es zu Konflikten mit vorhandenen Anwendungsports kommen . Wenn Sie keine anderen Dienste oder Docker-Container haben, die Port 53/80 verwenden (wenn ja, lesen Sie weiter unten für ein Reverse-Proxy-Beispiel), sind die zum Ausführen dieses Containers mindestens erforderlichen Argumente im Skript docker_run.sh

Wenn Sie eine Red Hat-basierte Distribution mit einer SELinux Enforcing-Richtlinie verwenden, fügen Sie :z hinzu, um die Volumes wie folgt auszurichten:

    -v "$(pwd)/etc-pihole:/etc/pihole:z" 
    -v "$(pwd)/etc-dnsmasq.d:/etc/dnsmasq.d:z" 

Volumes werden zum Beibehalten von Daten über Containerneuerstellungen hinweg zum Aktualisieren von Bildern empfohlen. Die IP-Suchvariablen funktionieren möglicherweise nicht für alle. Bitte überprüfen Sie ihre Werte und codieren Sie IP und IPv6 bei Bedarf fest.

Sie können anpassen, wo persistente Daten gespeichert werden sollen, indem Sie beim Aufruf von docker_run.sh die Umgebungsvariable PIHOLE_BASE festlegen (z. B. PIHOLE_BASE=/opt/pihole-storage ./docker_run.sh ). Wenn PIHOLE_BASE nicht festgelegt ist, werden Dateien in Ihrem aktuellen Verzeichnis gespeichert, wenn Sie das Skript aufrufen.

Automatische Anzeigenlisten-Updates – seit der Version 3.0+ ist cron in den Container integriert und greift auf die neuesten Versionen Ihrer Listen zu und leert Ihre Protokolle. Legen Sie Ihre TZ-Umgebungsvariable fest , um sicherzustellen, dass die Protokollrotation um Mitternacht mit der Mitternacht Ihrer Zeitzone synchronisiert wird.

Es gibt mehrere verschiedene Möglichkeiten, DHCP in Ihrem Docker Pi-Hole-Container auszuführen, aber es ist etwas fortgeschrittener und es gibt keine Einheitslösung, die für alle passt. Die verschiedenen Netzwerkmodi von DHCP und Docker werden ausführlich auf unserer Dokumentationsseite behandelt: Docker DHCP und Netzwerkmodi

Es gibt weitere Umgebungsvariablen, wenn Sie verschiedene Dinge im Docker-Container anpassen möchten:

Auch wenn diese möglicherweise noch funktionieren, werden sie wahrscheinlich in einer zukünftigen Version entfernt. Gegebenenfalls werden alternative Variablennamen angegeben. Bitte überprüfen Sie die obige Tabelle zur Verwendung der alternativen Variablen

Um diese Umgebungsvariablen im Docker-Run-Format zu verwenden, formatieren Sie sie wie folgt: -e DNS1=1.1.1.1

Hier ist eine Übersicht über weitere Argumente für Ihren Docker-Compose/Docker-Lauf.

• Eine gute Möglichkeit zu testen, ob alles richtig funktioniert, ist das Laden dieser Seite: http://pi.hole/admin/
• Wie kann ich das Passwort für die Webschnittstelle festlegen oder zurücksetzen?
  • docker exec -it pihole_container_name pihole -a -p – geben Sie dann Ihr Passwort in die Eingabeaufforderung ein
• Hafenkonflikte? Stoppen Sie die vorhandenen DNS-/Webdienste Ihres Servers.
  • Vergessen Sie nicht, den automatischen Start Ihrer Dienste nach dem Neustart zu verhindern
  • Für Ubuntu-Benutzer finden Sie unten detailliertere Informationen
• Sie können andere Ports dem Pi-Hole-Port 80 zuordnen, indem Sie die Portweiterleitung von Docker wie folgt verwenden: -p 8080:80 , wenn Sie den Standardblockierungsmodus verwenden. Wenn Sie den alten IP-Blockierungsmodus verwenden, sollten Sie diesen Port nicht neu zuordnen.
  • Hier ist ein Beispiel für die Ausführung mit nginxproxy/nginx-proxy (einem automatisch konfigurierenden Nginx-Docker-Reverse-Proxy für Docker) auf meinem Port 80 mit Pi-hole auf einem anderen Port. Pi-hole muss DEFAULT_HOST env in nginxproxy/nginx-proxy sein und Sie müssen den passenden VIRTUAL_HOST für den Pi-hole-Container festlegen. Bitte lesen Sie die Readme-Datei zu nginxproxy/nginx-proxy für weitere Informationen, wenn Sie Probleme haben.
• Die Standard-Netzwerkmodus- bridge von Docker isoliert den Container vom Netzwerk des Hosts. Dies ist eine sicherere Einstellung, erfordert jedoch die Einstellung der Pi-hole-DNS-Option für das Schnittstellen-Abhörverhalten auf „Auf allen Schnittstellen abhören, alle Ursprünge zulassen“.

Moderne Versionen von Ubuntu (17.10+) und Fedora (33+) enthalten systemd-resolved , das standardmäßig für die Implementierung eines Caching-DNS-Stub-Resolvers konfiguriert ist. Dadurch wird verhindert, dass Pi-Hole Port 53 überwacht. Der Stub-Resolver sollte deaktiviert werden mit: sudo sed -r -i.orig 's/#?DNSStubListener=yes/DNSStubListener=no/g' /etc/systemd/resolved.conf

Dadurch werden die Nameserver-Einstellungen nicht geändert, die auf den Stub-Resolver verweisen und somit die DNS-Auflösung verhindern. Ändern Sie den /etc/resolv.conf so, dass er auf /run/systemd/resolve/resolv.conf zeigt, das automatisch aktualisiert wird, um dem netplan des Systems zu folgen: sudo sh -c 'rm /etc/resolv.conf && ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf' Nachdem Sie diese Änderungen vorgenommen haben, sollten Sie systemd-resolved mit systemctl restart systemd-resolved neu starten systemctl restart systemd-resolved

Sobald Pi-Hole installiert ist, möchten Sie Ihre Clients für die Verwendung konfigurieren (siehe hier). Wenn Sie den oben genannten Symlink verwendet haben, verwendet Ihr Docker-Host entweder das, was von DHCP bereitgestellt wird, oder die von Ihnen konfigurierte statische Einstellung. Wenn Sie die Nameserver Ihres Docker-Hosts explizit festlegen möchten, können Sie die unter /etc/netplan gefundenen Netzpläne bearbeiten und dann sudo netplan apply ausführen. Beispielnetzplan:

 network :
    ethernets :
        ens160 :
            dhcp4 : true
            dhcp4-overrides :
                use-dns : false
            nameservers :
                addresses : [127.0.0.1]
    version : 2

Beachten Sie, dass es auch möglich ist systemd-resolved vollständig zu deaktivieren. Dies kann jedoch zu Problemen bei der Namensauflösung in VPNs führen (siehe Fehlerbericht). Es deaktiviert auch die Funktionalität von Netplan, da systemd-resolved als Standard-Renderer verwendet wird (siehe man netplan ). Wenn Sie den Dienst deaktivieren möchten, müssen Sie die Nameserver manuell festlegen, indem Sie beispielsweise eine neue /etc/resolv.conf erstellen.

Benutzer älterer Ubuntu-Versionen (ca. 17.04) müssen dnsmasq deaktivieren.

@Rikj000 hat eine Anleitung erstellt, die Benutzern bei der Installation von Pi-hole auf Dokku hilft

Die primären Docker-Tags werden in der folgenden Tabelle erläutert. Klicken Sie hier, um die vollständige Liste der Tags anzuzeigen. In den GitHub-Versionshinweisen finden Sie die spezifische Version von Pi-hole Core, Web und FTL, die in der Version enthalten ist.

Die datumsbasierten Versionen (einschließlich inkrementierter „Patch“-Versionen) beziehen sich nicht auf irgendeine semantische Versionsnummer, sondern es wird ein Datum verwendet, um zwischen der neuen Version und der alten Version zu unterscheiden, mehr nicht. Versionshinweise enthalten immer vollständige Details zu Änderungen im Container, einschließlich Änderungen an den Kernkomponenten von Pi-hole

Für diesen Docker gelten die standardmäßigen Pi-Hole-Anpassungsfunktionen, jedoch mit Docker-Änderungen wie der Verwendung von Docker-Volume-Mounts, um auf dem Host gespeicherte Dateikonfigurationen den Container-Standardeinstellungen zuzuordnen. Es sollte jedoch vermieden werden, diese Konfigurationsdateien schreibgeschützt bereitzustellen. Volumes sind auch wichtig, um die Konfiguration beizubehalten, falls Sie den Pi-Hole-Container entfernt haben, was ein typisches Docker-Upgrade-Muster ist.

Versuchen Sie nicht, ein Upgrade durchzuführen ( pihole -up ) oder neu zu konfigurieren ( pihole -r ). Neue Images werden für Upgrades freigegeben. Das Upgrade durch Ersetzen Ihres alten Containers durch ein neues, aktualisiertes Image erfolgt auf die „Docker-Methode“. Langlebige Docker-Container sind nicht die Docker-Methode, da sie darauf abzielen, tragbar und reproduzierbar zu sein. Warum also nicht oft neu erstellen? Nur um zu beweisen, dass du es kannst.

0. Lesen Sie die Versionshinweise für diese Docker-Version und die Pi-Hole-Version
   • Dies hilft Ihnen, häufige Probleme aufgrund bekannter Probleme beim Upgrade oder neu erforderlicher Argumente oder Variablen zu vermeiden
   • Wir werden auch versuchen, allgemeine Fehler/Behebungen oben in dieser Readme-Datei anzugeben
1. Laden Sie die neueste Version des Bildes herunter: docker pull pihole/pihole
2. Werfen Sie Ihren Container weg: docker rm -f pihole
   • Warnung: Wenn Sie Ihren Pihole-Container entfernen, bleiben Sie möglicherweise bis Schritt 3 ohne DNS stecken; docker pull vor docker rm -f, um DNS-Unterbrechungen zu vermeiden ODER immer einen Fallback-DNS-Server in DHCP konfigurieren, um dieses Problem insgesamt zu vermeiden.
   • Wenn Ihnen Ihre Daten (Protokolle/Anpassungen) wichtig sind, stellen Sie sicher, dass sie volumetrisch zugeordnet sind, sonst werden sie in diesem Schritt gelöscht.
3. Starten Sie Ihren Container mit dem neueren Basis-Image: docker run <args> pihole/pihole (wobei <args> Ihre bevorzugten Ausführungsvolumes und Umgebungsvariablen sind)

Warum ist diese Art des Upgrades gut? Ein paar Gründe: Jeder geht von demselben Basis-Image aus, das getestet wurde, um sicherzustellen, dass es funktioniert. Bei der Einführung von Updates müssen Sie sich keine Gedanken über ein Upgrade von A auf B, B auf C oder A auf C machen, es reduziert die Komplexität und ermöglicht einfach jedes Mal einen „Neuanfang“, während Anpassungen mit Volumes erhalten bleiben. Grundsätzlich empfehle ich die Phoenix-Server-Prinzipien für Ihre Container.

Um Pi-hole neu zu konfigurieren, müssen Sie entweder eine vorhandene Container-Umgebungsvariable verwenden oder, falls keine Variable für das, was Sie benötigen, vorhanden ist, die Web-Benutzeroberfläche oder CLI-Befehle verwenden.

Hier sind einige relevante Wiki-Seiten aus der Dokumentation von Pi-hole. Um Änderungen an Pihole umzusetzen, können das Webinterface oder Kommandozeilentools genutzt werden.

Wir installieren alle Pihole-Dienstprogramme, damit die integrierten Pihole-Befehle über docker exec <container> <command> wie folgt funktionieren:

• docker exec pihole_container_name pihole updateGravity
• docker exec pihole_container_name pihole -w spclient.wg.spotify.com
• docker exec pihole_container_name pihole -wild example.com

Der Webserver und der DNS-Dienst im Container können bei Bedarf angepasst werden. Alle Konfigurationsdateien, die Sie per Volume in /etc/dnsmasq.d/ bereitstellen, werden von dnsmasq geladen, wenn der Container startet oder neu startet. Wenn Sie die Pi-hole-Konfiguration ändern müssen, befindet sie sich unter /etc/dnsmasq.d/01-pihole.conf . Die Docker-Startskripte führen vor dem Start einen Konfigurationstest durch, damit Sie über etwaige Fehler im Docker-Protokoll informiert werden.

Ebenso können Sie für den Webserver die Konfigurationen in /etc/lighttpd anpassen

Solange Ihr Docker-Systemdienst beim Booten automatisch startet und Sie Ihren Container mit --restart=unless-stopped ausführen, sollte Ihr Container immer beim Booten starten und bei Abstürzen neu starten. Wenn Sie Ihren Docker-Container lieber als systemd-Dienst ausführen möchten, fügen Sie die Datei pihole.service zu „/etc/systemd/system“ hinzu; Passen Sie den Namen Ihres Containers an und entfernen Sie --restart=unless-stopped aus Ihrem Docker-Lauf. Nachdem Sie den Docker-Container zunächst mit dem oben genannten Docker-Run-Befehl erstellt haben, können Sie ihn mit „systemctl start pihole“ oder „systemctl stop pihole“ (anstelle von docker start / docker stop ) steuern. Sie können den automatischen Start beim Booten auch mit „systemctl enable pihole“ aktivieren (im Gegensatz zu --restart=unless-stopped und sicherstellen, dass der Docker-Dienst beim Booten automatisch startet).

HINWEIS: Nach der ersten Ausführung müssen Sie den Docker-Container möglicherweise manuell mit „docker stop pihole“ stoppen, bevor systemctl mit der Steuerung des Containers beginnen kann.

DNSMasq/FTLDNS erwartet, dass die folgenden Funktionen verfügbar sind:

• CAP_NET_BIND_SERVICE : Ermöglicht die FTLDNS-Bindung an TCP/UDP-Sockets unter 1024 (insbesondere DNS-Dienst auf Port 53)
• CAP_NET_RAW : Raw- und Paket-Sockets verwenden (erforderlich für die Bearbeitung von DHCPv6-Anfragen und zur Überprüfung, ob eine IP nicht verwendet wird, bevor sie vermietet wird)
• CAP_NET_ADMIN : Ändern von Routing-Tabellen und anderen netzwerkbezogenen Vorgängen (insbesondere Einfügen eines Eintrags in die Nachbartabelle, um DHCP-Anfragen mithilfe von Unicast-Paketen zu beantworten)
• CAP_SYS_NICE : FTL stellt sich als wichtigen Prozess dar, um etwas mehr Verarbeitungszeit zu erhalten, wenn diese zur Neige geht
• CAP_CHOWN : Wir müssen in der Lage sein, den Besitz von Protokolldateien und Datenbanken zu ändern, falls FTL als ein anderer Benutzer als pihole gestartet wird

Dieses Image gewährt dem FTLDNS-Prozess automatisch diese Funktionen, sofern verfügbar, auch wenn es als Nicht-Root-Benutzer ausgeführt wird.
Standardmäßig enthält Docker nicht die NET_ADMIN Funktion für nicht privilegierte Container und es wird empfohlen, sie explizit mit --cap-add=NET_ADMIN zum Container hinzuzufügen.
Wenn DHCP- und IPv6-Router-Ankündigungen jedoch nicht verwendet werden, sollte es sicher sein, sie zu überspringen. Für die meisten Paranoiker sollte es sogar möglich sein, die NET_RAW -Fähigkeit explizit zu löschen, um zu verhindern, dass FTLDNS sie automatisch erhält.

Wir haben festgestellt, dass viele Leute Watchtower nutzen, um ihre Pi-Hole-Container auf dem neuesten Stand zu halten. Aus dem gleichen Grund, aus dem wir bei einer Bare-Metal-Installation keine Funktion zur automatischen Aktualisierung bereitstellen, sollte Ihr Pi-Hole-Container nicht automatisch vom System aktualisiert werden. Besonders unbeaufsichtigt. So sehr wir auch versuchen sicherzustellen, dass nichts schief geht, manchmal geht etwas schief – und Sie müssen sich Zeit nehmen, um die Version des Containers, den Sie ausführen möchten, manuell abzurufen und zu aktualisieren. Der Upgrade-Prozess sollte wie folgt ablaufen:

• Wichtig : Lesen Sie die Versionshinweise. Manchmal müssen Sie andere Änderungen vornehmen als nur das Bild zu aktualisieren
• Ziehen Sie das neue Bild
• Stoppen Sie den laufenden Pi-Hole-Container und entfernen Sie ihn
  • Wenn Ihnen Ihre Daten (Protokolle/Anpassungen) wichtig sind, stellen Sie sicher, dass sie volumetrisch zugeordnet sind, sonst werden sie in diesem Schritt gelöscht.
• Erstellen Sie den Container mit dem neuen Image neu

Pi-Hole ist ein integraler Bestandteil Ihres Netzwerks. Lassen Sie es nicht wegen eines unbeaufsichtigten Updates mitten in der Nacht zusammenbrechen.

Bitte melden Sie Probleme im GitHub-Projekt, wenn Sie vermuten, dass etwas mit Docker zu tun hat. Pi-Hole- oder allgemeine Docker-Fragen werden am besten in unseren Benutzerforen beantwortet.