docker pi hole

• Vous utilisez la Tour de Garde ? Voir la note sur la Watchtower au bas de ce fichier Lisez-moi.

• Depuis 2023.01 , si vous avez des modifications pour lighttpd via un fichier external.conf , ce fichier doit maintenant être mappé dans /etc/lighttpd/conf-enabled/whateverfile.conf à la place.

• En raison d'un problème connu avec Docker et libseccomp <2.5, vous pouvez rencontrer des problèmes sous 2022.04 et versions ultérieures sur les systèmes hôtes avec une ancienne version de libseccomp2 (telle que Debian/Raspbian buster ou Ubuntu 20.04, et peut-être CentOS 7).

  La première recommandation est de mettre à niveau votre système d'exploitation hôte, qui inclura une version plus à jour (et corrigée) de libseccomp .

  Si vous ne pouvez absolument pas faire cela, certains utilisateurs ont signalé avoir réussi à mettre à jour libseccomp2 via des rétroportages sur Debian, ou similaire via des mises à jour sur Ubuntu. Vous pouvez essayer cette solution de contournement à vos propres risques (Remarque, vous constaterez peut-être également que vous avez besoin de la dernière version docker.io (plus de détails ici)

• Certains utilisateurs ont signalé des problèmes lors de l'utilisation de l'indicateur --privileged sur 2022.04 et versions ultérieures. TL;DR, n'utilisez pas ce mode et soyez plutôt explicite avec les majuscules autorisées (si nécessaire)

1. Copiez docker-compose.yml.example dans docker-compose.yml et mettez à jour si nécessaire. Voir l'exemple ci-dessous : Exemple Docker-compose :

 # More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services :
  pihole :
    container_name : pihole
    image : pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports :
      - " 53:53/tcp "
      - " 53:53/udp "
      - " 67:67/udp " # Only required if you are using Pi-hole as your DHCP server
      - " 80:80/tcp "
    environment :
      TZ : ' America/Chicago '
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes :
      - ' ./etc-pihole:/etc/pihole '
      - ' ./etc-dnsmasq.d:/etc/dnsmasq.d '
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add :
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart : unless-stopped

2. Exécutez docker compose up -d pour créer et démarrer pi-hole (la syntaxe peut être docker-compose sur les anciens systèmes)
3. Utilisez l'interface utilisateur Web de Pi-hole pour modifier le comportement d'écoute de l'interface des paramètres DNS en « Écouter sur toutes les interfaces, autoriser toutes les origines », si vous utilisez le paramètre réseau bridge par défaut de Docker. (Cela peut également être réalisé en définissant la variable d'environnement DNSMASQ_LISTENING sur all )

Voici un script d'exécution Docker équivalent.

Un projet Docker pour créer un conteneur x86 et ARM léger avec la fonctionnalité Pi-hole.

1. Installez Docker pour votre système x86-64 ou votre système ARMv7 à l'aide de ces liens. Docker-compose est également recommandé.
2. Utilisez l’exemple de démarrage rapide ci-dessus, personnalisez-le si vous le souhaitez.
3. Apprécier!

Ce conteneur utilise 2 ports populaires, le port 53 et le port 80, et peut donc entrer en conflit avec les ports d'applications existants . Si vous n'avez aucun autre service ou conteneur Docker utilisant le port 53/80 (si c'est le cas, continuez à lire ci-dessous pour un exemple de proxy inverse), les arguments minimaux requis pour exécuter ce conteneur se trouvent dans le script docker_run.sh

Si vous utilisez une distribution basée sur Red Hat avec une politique d'application SELinux, ajoutez :z pour aligner les volumes comme ceci :

    -v "$(pwd)/etc-pihole:/etc/pihole:z" 
    -v "$(pwd)/etc-dnsmasq.d:/etc/dnsmasq.d:z" 

Les volumes sont recommandés pour conserver les données dans les recréations de conteneurs afin de mettre à jour les images. Les variables de recherche IP peuvent ne pas fonctionner pour tout le monde, veuillez revoir leurs valeurs et coder en dur IP et IPv6 si nécessaire.

Vous pouvez personnaliser l'emplacement de stockage des données persistantes en définissant la variable d'environnement PIHOLE_BASE lors de l'appel docker_run.sh (par exemple PIHOLE_BASE=/opt/pihole-storage ./docker_run.sh ). Si PIHOLE_BASE n'est pas défini, les fichiers sont stockés dans votre répertoire actuel lorsque vous appelez le script.

Mises à jour automatiques de la liste d'annonces - depuis la version 3.0+, cron est intégré dans le conteneur et récupérera les versions les plus récentes de vos listes et videra vos journaux. Définissez votre variable d'environnement TZ pour vous assurer que la rotation du journal de minuit se synchronise avec minuit de votre fuseau horaire.

Il existe plusieurs façons différentes d'exécuter DHCP à partir de votre conteneur Docker Pi-hole, mais elle est légèrement plus avancée et une taille unique ne convient pas à tout le monde. Les multiples modes réseau de DHCP et Docker sont traités en détail sur notre site de documentation : Docker DHCP et modes réseau

Il existe d'autres variables d'environnement si vous souhaitez personnaliser diverses choses à l'intérieur du conteneur Docker :

Bien que ceux-ci puissent toujours fonctionner, ils seront probablement supprimés dans une prochaine version. Le cas échéant, d'autres noms de variables sont indiqués. Veuillez consulter le tableau ci-dessus pour connaître l'utilisation des variables alternatives.

Pour utiliser ces variables d'environnement au format d'exécution Docker, stylez-les comme : -e DNS1=1.1.1.1

Voici un aperçu des autres arguments pour votre exécution docker-compose / docker.

• Un bon moyen de tester que tout fonctionne correctement est de charger cette page : http://pi.hole/admin/
• Comment définir ou réinitialiser le mot de passe de l'interface Web ?
  • docker exec -it pihole_container_name pihole -a -p - puis entrez votre mot de passe dans l'invite
• Conflits portuaires ? Arrêtez les services DNS/Web existants de votre serveur.
  • N'oubliez pas d'empêcher le redémarrage automatique de vos services après le redémarrage
  • Les utilisateurs d'Ubuntu voient ci-dessous pour des informations plus détaillées
• Vous pouvez mapper d'autres ports sur le port Pi-hole 80 en utilisant la redirection de port de Docker comme celle-ci -p 8080:80 si vous utilisez le mode de blocage par défaut. Si vous utilisez l'ancien mode de blocage IP, vous ne devez pas remapper ce port.
  • Voici un exemple d'exécution avec nginxproxy/nginx-proxy (un proxy inverse docker à configuration automatique nginx pour docker) sur mon port 80 avec Pi-hole sur un autre port. Pi-hole doit être DEFAULT_HOST env dans nginxproxy/nginx-proxy et vous devez définir le VIRTUAL_HOST correspondant pour le conteneur du Pi-hole. Veuillez lire le fichier readme de nginxproxy/nginx-proxy pour plus d'informations si vous rencontrez des problèmes.
• bridge en mode réseau par défaut de Docker isole le conteneur du réseau de l'hôte. Il s'agit d'un paramètre plus sécurisé, mais nécessite de définir l'option DNS Pi-hole pour le comportement d'écoute de l'interface sur « Écouter sur toutes les interfaces, autoriser toutes les origines ».

Les versions modernes d'Ubuntu (17.10+) et Fedora (33+) incluent systemd-resolved qui est configuré par défaut pour implémenter un résolveur de stub DNS de mise en cache. Cela empêchera pi-hole d'écouter sur le port 53. Le résolveur de stub doit être désactivé avec : sudo sed -r -i.orig 's/#?DNSStubListener=yes/DNSStubListener=no/g' /etc/systemd/resolved.conf

Cela ne modifiera pas les paramètres du serveur de noms, qui pointent vers le résolveur de stub, empêchant ainsi la résolution DNS. Modifiez le lien symbolique /etc/resolv.conf pour qu'il pointe vers /run/systemd/resolve/resolv.conf , qui est automatiquement mis à jour pour suivre le netplan du système : sudo sh -c 'rm /etc/resolv.conf && ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf' Après avoir effectué ces modifications, vous devez redémarrer systemd-resolved en utilisant systemctl restart systemd-resolved

Une fois pi-hole installé, vous souhaiterez configurer vos clients pour l'utiliser (voir ici). Si vous avez utilisé le lien symbolique ci-dessus, votre hôte Docker utilisera soit tout ce qui est servi par DHCP, soit le paramètre statique que vous avez configuré. Si vous souhaitez définir explicitement les serveurs de noms de votre hôte Docker, vous pouvez modifier le(s) plan(s) réseau trouvé(s) dans /etc/netplan , puis exécutez sudo netplan apply . Exemple de plan réseau :

 network :
    ethernets :
        ens160 :
            dhcp4 : true
            dhcp4-overrides :
                use-dns : false
            nameservers :
                addresses : [127.0.0.1]
    version : 2

Notez qu'il est également possible de désactiver entièrement systemd-resolved . Cependant, cela peut entraîner des problèmes de résolution de noms dans les VPN (voir rapport de bug). Il désactive également la fonctionnalité de netplan puisque systemd-resolved est utilisé comme moteur de rendu par défaut (voir man netplan ). Si vous choisissez de désactiver le service, vous devrez définir manuellement les serveurs de noms, par exemple en créant un nouveau /etc/resolv.conf .

Les utilisateurs d'anciennes versions d'Ubuntu (vers 17.04) devront désactiver dnsmasq.

@ Rikj000 a produit un guide pour aider les utilisateurs à installer Pi-hole sur Dokku

Les balises Docker principales sont expliquées dans le tableau suivant. Cliquez ici pour voir la liste complète des balises. Consultez les notes de version de GitHub pour voir la version spécifique de Pi-hole Core, Web et FTL incluse dans la version.

Les versions basées sur la date (y compris les versions "Patch" incrémentées) ne se rapportent à aucun type de numéro de version sémantique, mais plutôt une date est utilisée pour différencier la nouvelle version de l'ancienne version, rien de plus. Les notes de version contiendront toujours tous les détails des modifications apportées au conteneur, y compris les modifications apportées aux composants principaux de Pi-hole.

Les capacités de personnalisation standard de Pi-hole s'appliquent à ce docker, mais avec des fonctionnalités de docker telles que l'utilisation de montages de volume de docker pour mapper les configurations de fichiers stockés par l'hôte sur les valeurs par défaut du conteneur. Cependant, le montage de ces fichiers de configuration en lecture seule doit être évité. Les volumes sont également importants pour conserver la configuration au cas où vous auriez supprimé le conteneur Pi-hole, qui est un modèle de mise à niveau typique de Docker.

N'essayez pas de mettre à niveau ( pihole -up ) ou de reconfigurer ( pihole -r ). De nouvelles images seront publiées pour les mises à niveau, la mise à niveau en remplaçant votre ancien conteneur par une nouvelle image mise à niveau est la « méthode Docker ». Les conteneurs Docker de longue durée ne sont pas la solution Docker puisqu'ils visent à être portables et reproductibles, pourquoi ne pas les recréer souvent ! Juste pour prouver que vous le pouvez.

0. Lisez les notes de version pour cette version Docker et la version Pi-hole
   • Cela vous aidera à éviter les problèmes courants dus à des problèmes connus liés à la mise à niveau ou à des arguments ou variables nouvellement requis.
   • Nous essaierons également de mettre les pannes/correctifs courants en haut de ce fichier Lisez-moi.
1. Téléchargez la dernière version de l'image : docker pull pihole/pihole
2. Jetez votre conteneur : docker rm -f pihole
   • Avertissement Lorsque vous supprimez votre conteneur pihole, vous risquez de rester bloqué sans DNS jusqu'à l'étape 3 ; docker pull avant docker rm -f pour éviter toute interruption DNS OU ayez toujours un serveur DNS de secours configuré en DHCP pour éviter complètement ce problème.
   • Si vous vous souciez de vos données (journaux/personnalisations), assurez-vous de les mapper en volume, sinon elles seront supprimées à cette étape.
3. Démarrez votre conteneur avec l'image de base la plus récente : docker run <args> pihole/pihole ( <args> étant vos volumes d'exécution et variables d'environnement préférés)

Pourquoi ce style de mise à niveau est-il bon ? Quelques raisons : tout le monde part de la même image de base qui a été testée pour savoir qu'elle fonctionne. Ne vous inquiétez pas de la mise à niveau de A vers B, de B vers C ou de A vers C lors du déploiement des mises à jour, cela réduit la complexité et permet simplement un « nouveau départ » à chaque fois tout en préservant les personnalisations avec les volumes. Fondamentalement, j'encourage les principes du serveur Phoenix pour vos conteneurs.

Pour reconfigurer Pi-hole, vous devrez soit utiliser des variables d'environnement de conteneur existantes, soit s'il n'y a pas de variable pour ce dont vous avez besoin, utiliser l'interface utilisateur Web ou les commandes CLI.

Voici quelques pages wiki pertinentes de la documentation de Pi-hole. L'interface Web ou les outils de ligne de commande peuvent être utilisés pour implémenter les modifications apportées à pihole.

Nous installons tous les utilitaires pihole afin que les commandes pihole intégrées fonctionnent via docker exec <container> <command> comme ceci :

• docker exec pihole_container_name pihole updateGravity
• docker exec pihole_container_name pihole -w spclient.wg.spotify.com
• docker exec pihole_container_name pihole -wild example.com

Le serveur Web et le service DNS à l'intérieur du conteneur peuvent être personnalisés si nécessaire. Tous les fichiers de configuration que vous montez en volume dans /etc/dnsmasq.d/ seront chargés par dnsmasq lorsque le conteneur démarre ou redémarre ou si vous devez modifier la configuration Pi-hole, il se trouve dans /etc/dnsmasq.d/01-pihole.conf . Les scripts de démarrage du Docker exécutent un test de configuration avant de démarrer afin de vous informer de toute erreur dans le journal du Docker.

De même pour le serveur Web, vous pouvez personnaliser les configurations dans /etc/lighttpd

Tant que votre service système Docker démarre automatiquement au démarrage et que vous exécutez votre conteneur avec --restart=unless-stopped votre conteneur doit toujours démarrer au démarrage et redémarrer en cas de panne. Si vous préférez que votre conteneur Docker s'exécute en tant que service systemd, ajoutez le fichier pihole.service à "/etc/systemd/system" ; personnalisez le nom de votre conteneur et supprimez --restart=unless-stopped de votre exécution de Docker. Ensuite, après avoir initialement créé le conteneur Docker à l'aide de la commande docker run ci-dessus, vous pouvez le contrôler avec "systemctl start pihole" ou "systemctl stop pihole" (au lieu de docker start / docker stop ). Vous pouvez également lui permettre de démarrer automatiquement au démarrage avec "systemctl activate pihole" (par opposition à --restart=unless-stopped et en vous assurant que le service Docker démarre automatiquement au démarrage).

REMARQUE : après l'exécution initiale, vous devrez peut-être arrêter manuellement le conteneur Docker avec "docker stop pihole" avant que systemctl puisse commencer à contrôler le conteneur.

DNSMasq / FTLDNS s'attend à disposer des fonctionnalités suivantes :

• CAP_NET_BIND_SERVICE : Permet la liaison FTLDNS aux sockets TCP/UDP inférieurs à 1024 (en particulier le service DNS sur le port 53)
• CAP_NET_RAW : utiliser des sockets bruts et paquets (nécessaires pour gérer les requêtes DHCPv6 et vérifier qu'une IP n'est pas utilisée avant de la louer)
• CAP_NET_ADMIN : modifier les tables de routage et autres opérations liées au réseau (notamment insérer une entrée dans la table des voisins pour répondre aux requêtes DHCP à l'aide de paquets unicast)
• CAP_SYS_NICE : FTL se définit comme un processus important pour obtenir un peu plus de temps de traitement si ce dernier est faible
• CAP_CHOWN : nous devons pouvoir changer la propriété des fichiers journaux et des bases de données au cas où FTL serait démarré en tant qu'utilisateur différent de pihole

Cette image accorde automatiquement ces fonctionnalités, si disponibles, au processus FTLDNS, même lorsqu'il est exécuté en tant que non root.
Par défaut, docker n'inclut pas la fonctionnalité NET_ADMIN pour les conteneurs non privilégiés, et il est recommandé de l'ajouter explicitement au conteneur en utilisant --cap-add=NET_ADMIN .
Cependant, si les publicités de routeur DHCP et IPv6 ne sont pas utilisées, vous pouvez les ignorer en toute sécurité. Pour les plus paranoïaques, il devrait même être possible de supprimer explicitement la fonctionnalité NET_RAW pour empêcher FTLDNS de l'obtenir automatiquement.

Nous avons remarqué que beaucoup de gens utilisent Watchtower pour maintenir à jour leurs conteneurs Pi-hole. Pour la même raison que nous ne proposons pas de fonctionnalité de mise à jour automatique sur une installation nue, vous ne devriez pas avoir de système mettant automatiquement à jour votre conteneur Pi-hole. Surtout sans surveillance. Même si nous essayons de nous assurer que tout se passe bien, il arrive parfois que les choses tournent mal - et vous devez prévoir du temps pour extraire et mettre à jour manuellement la version du conteneur que vous souhaitez exécuter. Le processus de mise à niveau doit suivre le modèle suivant :

• Important : Lisez les notes de version. Parfois, vous devrez apporter des modifications autres que la simple mise à jour de l'image.
• Tirez la nouvelle image
• Arrêtez et retirez le conteneur Pi-hole en cours d'exécution
  • Si vous vous souciez de vos données (journaux/personnalisations), assurez-vous de les mapper en volume, sinon elles seront supprimées à cette étape.
• Recréez le conteneur en utilisant la nouvelle image

Pi-hole fait partie intégrante de votre réseau, ne le laissez pas tomber à cause d'une mise à jour inopinée en pleine nuit.

Veuillez signaler les problèmes sur le projet GitHub lorsque vous soupçonnez quelque chose lié à Docker. Il est préférable de répondre aux questions Pi-hole ou générales sur les dockers sur nos forums d'utilisateurs.