docker pi hole

• Usando a Torre de Vigia? Veja a Nota sobre a Torre de Vigia no final deste leia-me

• A partir de 2023.01 , se você tiver alguma modificação no lighttpd por meio de um arquivo external.conf , esse arquivo agora precisará ser mapeado para /etc/lighttpd/conf-enabled/whateverfile.conf

• Devido a um problema conhecido com Docker e libseccomp <2.5, você pode encontrar problemas executando 2022.04 e posteriores em sistemas host com uma versão mais antiga de libseccomp2 (como Debian/Raspbian buster ou Ubuntu 20.04, e talvez CentOS 7).

  A primeira recomendação é atualizar o sistema operacional host, que incluirá uma versão mais atualizada (e corrigida) do libseccomp .

  Se você absolutamente não puder fazer isso, alguns usuários relataram sucesso na atualização libseccomp2 via backports no Debian, ou similar através de atualizações no Ubuntu. Você pode tentar esta solução alternativa por sua própria conta e risco (observe que você também pode descobrir que precisa do docker.io mais recente (mais detalhes aqui)

• Alguns usuários relataram problemas com o uso do sinalizador --privileged em 2022.04 e superior. DR, não use esse modo e seja explícito com os limites permitidos (se necessário)

1. Copie docker-compose.yml.example para docker-compose.yml e atualize conforme necessário. Veja o exemplo abaixo: Exemplo Docker-compose:

 # More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services :
  pihole :
    container_name : pihole
    image : pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports :
      - " 53:53/tcp "
      - " 53:53/udp "
      - " 67:67/udp " # Only required if you are using Pi-hole as your DHCP server
      - " 80:80/tcp "
    environment :
      TZ : ' America/Chicago '
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes :
      - ' ./etc-pihole:/etc/pihole '
      - ' ./etc-dnsmasq.d:/etc/dnsmasq.d '
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add :
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart : unless-stopped

2. Execute docker compose up -d para construir e iniciar o pi-hole (a sintaxe pode ser docker-compose em sistemas mais antigos)
3. Use a UI da web Pi-hole para alterar o comportamento de escuta da interface das configurações de DNS para "Ouvir em todas as interfaces, permitir todas as origens", se estiver usando a configuração de rede bridge padrão do Docker. (Isso também pode ser conseguido definindo a variável de ambiente DNSMASQ_LISTENING como all )

Aqui está um script de execução do docker equivalente.

Um projeto Docker para criar um contêiner x86 e ARM leve com funcionalidade Pi-hole.

1. Instale o docker para seu sistema x86-64 ou sistema ARMv7 usando esses links. Docker-compose também é recomendado.
2. Use o exemplo de início rápido acima e personalize se desejar.
3. Aproveitar!

Este contêiner usa duas portas populares, a porta 53 e a porta 80, portanto pode entrar em conflito com as portas de aplicativos existentes . Se você não tiver outros serviços ou contêineres docker usando a porta 53/80 (se tiver, continue lendo abaixo para obter um exemplo de proxy reverso), os argumentos mínimos necessários para executar este contêiner estão no script docker_run.sh

Se você estiver usando uma distribuição baseada em Red Hat com uma política SELinux Enforcing, adicione :z para alinhar com volumes como este:

    -v "$(pwd)/etc-pihole:/etc/pihole:z" 
    -v "$(pwd)/etc-dnsmasq.d:/etc/dnsmasq.d:z" 

Os volumes são recomendados para persistir dados em recriações de contêineres para atualização de imagens. As variáveis ​​de pesquisa de IP podem não funcionar para todos. Revise seus valores e codifique IP e IPv6, se necessário.

Você pode personalizar onde armazenar dados persistentes definindo a variável de ambiente PIHOLE_BASE ao invocar docker_run.sh (por exemplo, PIHOLE_BASE=/opt/pihole-storage ./docker_run.sh ). Se PIHOLE_BASE não estiver definido, os arquivos serão armazenados em seu diretório atual quando você invocar o script.

Atualizações automáticas da lista de anúncios - desde a versão 3.0+, cron é incorporado ao contêiner e irá capturar as versões mais recentes de suas listas e liberar seus logs. Defina sua variável de ambiente TZ para garantir que a rotação do log da meia-noite seja sincronizada com a meia-noite do seu fuso horário.

Existem várias maneiras diferentes de executar o DHCP a partir do contêiner Docker Pi-hole, mas é um pouco mais avançado e um tamanho não serve para todos. Os vários modos de rede do DHCP e do Docker são abordados detalhadamente em nosso site de documentos: Docker DHCP e modos de rede

Existem outras variáveis ​​de ambiente se você quiser personalizar várias coisas dentro do contêiner docker:

Embora ainda possam funcionar, é provável que sejam removidos em uma versão futura. Quando aplicável, são indicados nomes alternativos de variáveis. Por favor, revise a tabela acima para o uso das variáveis ​​alternativas

Para usar esses env vars no formato docker run, estilize-os como: -e DNS1=1.1.1.1

Aqui está um resumo de outros argumentos para sua execução docker-compose/docker.

• Uma boa maneira de testar se as coisas estão funcionando corretamente é carregar esta página: http://pi.hole/admin/
• Como defino ou redefino a senha da interface da Web?
  • docker exec -it pihole_container_name pihole -a -p - digite sua senha no prompt
• Conflitos portuários? Pare os serviços DNS/Web existentes do seu servidor.
  • Não se esqueça de interromper a inicialização automática de seus serviços novamente após a reinicialização
  • Usuários do Ubuntu vejam abaixo informações mais detalhadas
• Você pode mapear outras portas para a porta Pi-hole 80 usando o encaminhamento de porta do docker como este -p 8080:80 se estiver usando o modo de bloqueio padrão. Se você estiver usando o modo de bloqueio de IP herdado, não deverá remapear esta porta.
  • Aqui está um exemplo de execução com nginxproxy/nginx-proxy (um proxy reverso do docker de configuração automática nginx para docker) na minha porta 80 com Pi-hole em outra porta. Pi-hole precisa ser DEFAULT_HOST env em nginxproxy/nginx-proxy e você precisa definir o VIRTUAL_HOST correspondente para o contêiner do Pi-hole. Por favor, leia o leia-me nginxproxy/nginx-proxy para obter mais informações se tiver problemas.
• bridge de modo de rede padrão do Docker isola o contêiner da rede do host. Esta é uma configuração mais segura, mas requer a configuração da opção Pi-hole DNS para comportamento de escuta da interface como "Ouvir em todas as interfaces, permitir todas as origens".

As versões modernas do Ubuntu (17.10+) e Fedora (33+) incluem systemd-resolved , que é configurado por padrão para implementar um resolvedor de stub DNS de cache. Isso impedirá que o pi-hole escute na porta 53. O resolvedor stub deve ser desabilitado com: sudo sed -r -i.orig 's/#?DNSStubListener=yes/DNSStubListener=no/g' /etc/systemd/resolved.conf

Isso não alterará as configurações do servidor de nomes, que apontam para o resolvedor de stub, impedindo assim a resolução do DNS. Altere o link simbólico /etc/resolv.conf para apontar para /run/systemd/resolve/resolv.conf , que é atualizado automaticamente para seguir o netplan do sistema: sudo sh -c 'rm /etc/resolv.conf && ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf' Depois de fazer essas alterações, você deve reiniciar o systemd-resolved usando systemctl restart systemd-resolved

Depois que o pi-hole estiver instalado, você desejará configurar seus clientes para usá-lo (veja aqui). Se você usou o link simbólico acima, seu host docker usará o que for servido pelo DHCP ou qualquer configuração estática que você configurou. Se você deseja definir explicitamente os servidores de nomes do seu host docker, você pode editar os netplan(s) encontrados em /etc/netplan e executar sudo netplan apply . Exemplo de plano de rede:

 network :
    ethernets :
        ens160 :
            dhcp4 : true
            dhcp4-overrides :
                use-dns : false
            nameservers :
                addresses : [127.0.0.1]
    version : 2

Observe que também é possível desabilitar totalmente systemd-resolved . No entanto, isso pode causar problemas com a resolução de nomes em VPNs (consulte o relatório de bug). Ele também desativa a funcionalidade do netplan, uma vez que systemd-resolved é usado como renderizador padrão (consulte man netplan ). Se você optar por desabilitar o serviço, precisará definir manualmente os servidores de nomes, por exemplo, criando um novo /etc/resolv.conf .

Usuários de versões mais antigas do Ubuntu (por volta de 17.04) precisarão desabilitar o dnsmasq.

@Rikj000 produziu um guia para ajudar os usuários a instalar o Pi-hole no Dokku

As tags docker primárias são explicadas na tabela a seguir. Clique aqui para ver a lista completa de tags. Consulte as notas de versão do GitHub para ver a versão específica do Pi-hole Core, Web e FTL incluída na versão.

As versões baseadas em data (incluindo versões "Patch" incrementadas) não se relacionam a nenhum tipo de número de versão semântico; em vez disso, uma data é usada para diferenciar entre a nova versão e a versão antiga, nada mais. As notas de lançamento sempre conterão detalhes completos das alterações no contêiner, incluindo alterações nos componentes principais do Pi-hole

As habilidades de personalização padrão do Pi-hole se aplicam a esta janela de encaixe, mas com variações da janela de encaixe, como o uso de montagens de volume da janela de encaixe para mapear configurações de arquivos armazenados no host sobre os padrões do contêiner. Entretanto, a montagem desses arquivos de configuração como somente leitura deve ser evitada. Os volumes também são importantes para persistir a configuração caso você tenha removido o contêiner Pi-hole, que é um padrão típico de atualização do docker.

Não tente atualizar ( pihole -up ) ou reconfigurar ( pihole -r ). Novas imagens serão lançadas para atualizações, atualizar substituindo seu contêiner antigo por uma nova imagem atualizada é o 'método docker'. Os contêineres docker de longa duração não são o caminho do docker, pois pretendem ser portáteis e reproduzíveis. Por que não recriá-los com frequência! Só para provar que você pode.

0. Leia as notas de lançamento desta versão do Docker e da versão Pi-hole
   • Isto irá ajudá-lo a evitar problemas comuns devido a quaisquer problemas conhecidos com a atualização ou argumentos ou variáveis ​​recentemente exigidos
   • Tentaremos colocar quebras/correções comuns no topo deste leia-me também
1. Baixe a versão mais recente da imagem: docker pull pihole/pihole
2. Jogue fora seu contêiner: docker rm -f pihole
   • Aviso Ao remover seu contêiner pihole, você pode ficar sem DNS até a etapa 3; docker pull antes do docker rm -f para evitar a interrupção do DNS OU sempre tenha um servidor DNS substituto configurado no DHCP para evitar esse problema completamente.
   • Se você se preocupa com seus dados (logs/personalizações), certifique-se de mapeá-los por volume ou eles serão excluídos nesta etapa.
3. Inicie seu contêiner com a imagem base mais recente: docker run <args> pihole/pihole ( <args> sendo seus volumes de execução e env vars preferidos)

Por que esse estilo de atualização é bom? Alguns motivos: todos estão começando com a mesma imagem base que foi testada para saber se funciona. Não é necessário se preocupar com a atualização de A para B, B para C ou A para C ao implementar atualizações, isso reduz a complexidade e simplesmente permite um 'novo começo' sempre, preservando as personalizações com volumes. Basicamente, estou incentivando os princípios do servidor Phoenix para seus contêineres.

Para reconfigurar o Pi-hole, você precisará usar variáveis ​​de ambiente de contêiner existentes ou, se não houver uma variável para o que você precisa, usar a interface da web ou comandos CLI.

Aqui estão algumas páginas wiki relevantes da documentação do Pi-hole. A interface da web ou ferramentas de linha de comando podem ser usadas para implementar alterações no pihole.

Instalamos todos os utilitários pihole para que os comandos pihole integrados funcionem via docker exec <container> <command> assim:

• docker exec pihole_container_name pihole updateGravity
• docker exec pihole_container_name pihole -w spclient.wg.spotify.com
• docker exec pihole_container_name pihole -wild example.com

O servidor web e o serviço DNS dentro do contêiner podem ser personalizados, se necessário. Quaisquer arquivos de configuração montados em volume em /etc/dnsmasq.d/ serão carregados pelo dnsmasq quando o contêiner for iniciado ou reiniciado ou se você precisar modificar a configuração do Pi-hole, ela está localizada em /etc/dnsmasq.d/01-pihole.conf . Os scripts de inicialização do docker executam um teste de configuração antes de iniciar, para informar sobre quaisquer erros no log do docker.

Da mesma forma, para o servidor web, você pode personalizar as configurações em /etc/lighttpd

Contanto que o serviço do sistema docker seja iniciado automaticamente na inicialização e você execute seu contêiner com --restart=unless-stopped seu contêiner deve sempre iniciar na inicialização e reiniciar em caso de falhas. Se você preferir que seu contêiner docker seja executado como um serviço systemd, adicione o arquivo pihole.service a "/etc/systemd/system"; personalize qualquer que seja o nome do seu contêiner e remova --restart=unless-stopped da execução do docker. Depois de criar inicialmente o contêiner do docker usando o comando docker run acima, você pode controlá-lo com "systemctl start pihole" ou "systemctl stop pihole" (em vez de docker start / docker stop ). Você também pode habilitá-lo para inicialização automática na inicialização com "systemctl enable pihole" (em oposição a --restart=unless-stopped e garantindo que o serviço docker seja iniciado automaticamente na inicialização).

NOTA: Após a execução inicial, pode ser necessário parar manualmente o contêiner do docker com "docker stop pihole" antes que o systemctl possa começar a controlar o contêiner.

DNSMasq/FTLDNS espera ter os seguintes recursos disponíveis:

• CAP_NET_BIND_SERVICE : Permite ligação FTLDNS a soquetes TCP/UDP abaixo de 1024 (especificamente serviço DNS na porta 53)
• CAP_NET_RAW : use soquetes brutos e de pacote (necessários para lidar com solicitações DHCPv6 e verificar se um IP não está em uso antes de alugá-lo)
• CAP_NET_ADMIN : modifica tabelas de roteamento e outras operações relacionadas à rede (em particular inserindo uma entrada na tabela vizinha para responder a solicitações DHCP usando pacotes unicast)
• CAP_SYS_NICE : FTL se define como um processo importante para obter mais tempo de processamento se este estiver acabando
• CAP_CHOWN : precisamos ser capazes de alterar a propriedade dos arquivos de log e bancos de dados caso o FTL seja iniciado como um usuário diferente do pihole

Esta imagem concede automaticamente esses recursos, se disponíveis, ao processo FTLDNS, mesmo quando executado como não-root.
Por padrão, o docker não inclui o recurso NET_ADMIN para contêineres não privilegiados e é recomendado adicioná-lo explicitamente ao contêiner usando --cap-add=NET_ADMIN .
No entanto, se os anúncios de roteadores DHCP e IPv6 não estiverem em uso, deve ser seguro ignorá-los. Para os mais paranóicos, deveria ser possível eliminar explicitamente a capacidade NET_RAW para evitar que o FTLDNS a obtenha automaticamente.

Percebemos que muitas pessoas usam a Watchtower para manter seus contêineres Pi-hole atualizados. Pela mesma razão que não fornecemos um recurso de atualização automática em uma instalação bare metal, você não deve ter um sistema atualizando automaticamente seu contêiner Pi-hole. Especialmente desacompanhado. Por mais que tentemos garantir que nada dará errado, às vezes as coisas dão errado - e você precisa reservar um tempo para extrair e atualizar manualmente para a versão do contêiner que deseja executar. O processo de atualização deve seguir as seguintes linhas:

• Importante : Leia as notas de lançamento. Às vezes você precisará fazer outras alterações além de apenas atualizar a imagem
• Puxe a nova imagem
• Pare e remova o contêiner Pi-hole em execução
  • Se você se preocupa com seus dados (logs/personalizações), certifique-se de mapeá-los por volume ou eles serão excluídos nesta etapa.
• Recrie o contêiner usando a nova imagem

O Pi-hole é parte integrante da sua rede, não deixe que ele caia devido a uma atualização autônoma no meio da noite.

Por favor, relate problemas no projeto GitHub quando você suspeitar de algo relacionado ao docker. Perguntas gerais sobre pi-hole ou docker são melhor respondidas em nossos fóruns de usuários.