docker pi hole

• Используете Сторожевую башню? См. примечание к Сторожевой башне внизу этого файла readme.

• Начиная с версии 2023.01 , если у вас есть какие-либо изменения для Lighttpd через файл external.conf , этот файл теперь необходимо сопоставить с /etc/lighttpd/conf-enabled/whateverfile.conf .

• Из-за известной проблемы с Docker и libseccomp <2.5 вы можете столкнуться с проблемами при работе 2022.04 и более поздних версий на хост-системах со более старой версией libseccomp2 (например, Debian/Raspbian buster или Ubuntu 20.04 и, возможно, CentOS 7).

  Первая рекомендация — обновить вашу хостовую ОС, которая будет включать более свежую (и исправленную) версию libseccomp .

  Если вы абсолютно не можете этого сделать, некоторые пользователи сообщают об успешном обновлении libseccomp2 через резервные порты в Debian или аналогичном обновлении в Ubuntu. Вы можете попробовать этот обходной путь на свой страх и риск (Обратите внимание, вы также можете обнаружить, что вам нужна последняя версия docker.io (подробнее здесь).

• Некоторые пользователи сообщали о проблемах с использованием флага --privileged в 2022.04 и выше. TL;DR, не используйте этот режим, а вместо этого укажите разрешенные ограничения (при необходимости).

1. Скопируйте docker-compose.yml.example в docker-compose.yml и обновите при необходимости. См. пример ниже: Пример Docker-compose:

 # More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services :
  pihole :
    container_name : pihole
    image : pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports :
      - " 53:53/tcp "
      - " 53:53/udp "
      - " 67:67/udp " # Only required if you are using Pi-hole as your DHCP server
      - " 80:80/tcp "
    environment :
      TZ : ' America/Chicago '
      # WEBPASSWORD: 'set a secure password here or it will be random'
    # Volumes store your data between container upgrades
    volumes :
      - ' ./etc-pihole:/etc/pihole '
      - ' ./etc-dnsmasq.d:/etc/dnsmasq.d '
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add :
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart : unless-stopped

2. Запустите docker compose up -d чтобы собрать и запустить pi-hole (синтаксис может быть docker-compose в старых системах).
3. Используйте веб-интерфейс Pi-hole, чтобы изменить поведение прослушивания интерфейса в настройках DNS на «Прослушивать на всех интерфейсах, разрешить все источники», если используется настройка bridge сети Docker по умолчанию. (Этого также можно добиться, установив для переменной среды DNSMASQ_LISTENING значение all )

Вот эквивалентный скрипт запуска Docker.

Проект Docker по созданию легкого контейнера x86 и ARM с функциональностью Pi-hole.

1. Установите Docker для вашей системы x86-64 или системы ARMv7, используя эти ссылки. Также рекомендуется использовать Docker-compose.
2. Используйте приведенный выше пример быстрого запуска, при необходимости настройте его.
3. Наслаждаться!

Этот контейнер использует два популярных порта: порт 53 и порт 80, поэтому может конфликтовать с портами существующих приложений . Если у вас нет других служб или контейнеров докеров, использующих порт 53/80 (если есть, продолжайте читать ниже, чтобы увидеть пример обратного прокси), минимальные аргументы, необходимые для запуска этого контейнера, находятся в скрипте docker_run.sh.

Если вы используете дистрибутив на основе Red Hat с политикой SELinux Enforcement, добавьте :z к строке с томами следующим образом:

    -v "$(pwd)/etc-pihole:/etc/pihole:z" 
    -v "$(pwd)/etc-dnsmasq.d:/etc/dnsmasq.d:z" 

Тома рекомендуются для сохранения данных при повторном создании контейнера для обновления образов. Переменные поиска IP могут работать не для всех. При необходимости проверьте их значения и жестко закодируйте IP и IPv6.

Вы можете настроить место хранения постоянных данных, задав переменную среды PIHOLE_BASE при вызове docker_run.sh (например, PIHOLE_BASE=/opt/pihole-storage ./docker_run.sh ). Если PIHOLE_BASE не установлен, файлы сохраняются в вашем текущем каталоге при вызове сценария.

Автоматические обновления списков объявлений . Начиная с версии 3.0+, cron встроен в контейнер и будет получать новейшие версии ваших списков и очищать ваши журналы. Установите переменную среды TZ , чтобы обеспечить синхронизацию полуночной ротации журнала с полуночью вашего часового пояса.

Существует несколько различных способов запуска DHCP из контейнера Docker Pi-hole, но он немного более продвинут, и один размер не подходит всем. Несколько сетевых режимов DHCP и Docker подробно описаны на нашем сайте документации: Docker DHCP и сетевые режимы.

Существуют и другие переменные среды, если вы хотите настроить различные параметры внутри Docker-контейнера:

Хотя они все еще могут работать, они, вероятно, будут удалены в будущей версии. Там, где это применимо, указываются альтернативные имена переменных. Пожалуйста, ознакомьтесь с таблицей выше, чтобы узнать об использовании альтернативных переменных.

Чтобы использовать эти переменные окружения в формате запуска Docker, настройте их следующим образом: -e DNS1=1.1.1.1

Вот краткое изложение других аргументов для вашего запуска docker-compose/docker.

• Хороший способ проверить, все ли работает правильно, — загрузить эту страницу: http://pi.hole/admin/
• Как установить или сбросить пароль веб-интерфейса?
  • docker exec -it pihole_container_name pihole -a -p — затем введите свой пароль в командную строку
• Конфликты портов? Остановите существующие DNS/веб-службы вашего сервера.
  • Не забудьте запретить автоматический запуск служб после перезагрузки.
  • Пользователи Ubuntu видят ниже более подробную информацию.
• Вы можете сопоставить другие порты с портом Pi-hole 80, используя переадресацию портов Docker, например -p 8080:80 , если вы используете режим блокировки по умолчанию. Если вы используете устаревший режим блокировки IP, вам не следует переназначать этот порт.
  • Вот пример работы с nginxproxy/nginx-proxy (обратный прокси-сервер nginx с автоматической настройкой для докера) на моем порту 80 с Pi-hole на другом порту. Pi-hole должен быть окружен DEFAULT_HOST в nginxproxy/nginx-proxy, и вам необходимо установить соответствующий VIRTUAL_HOST для контейнера Pi-hole. Если у вас возникнут проблемы, прочтите файл readme nginxproxy/nginx-proxy для получения дополнительной информации.
• bridge сетевого режима Docker по умолчанию изолирует контейнер от сети хоста. Это более безопасный параметр, но для него необходимо установить для параметра Pi-hole DNS параметра «Поведение прослушивания интерфейса» значение «Прослушивать на всех интерфейсах, разрешать все источники».

Современные выпуски Ubuntu (17.10+) и Fedora (33+) включают systemd-resolved , который по умолчанию настроен на реализацию кэширующего преобразователя заглушки DNS. Это предотвратит прослушивание pi-hole порта 53. Распознаватель заглушек должен быть отключен с помощью: sudo sed -r -i.orig 's/#?DNSStubListener=yes/DNSStubListener=no/g' /etc/systemd/resolved.conf

Это не изменит настройки сервера имен, которые указывают на заглушку сопоставителя, что предотвращает разрешение DNS. Измените символическую ссылку /etc/resolv.conf так, чтобы она указывала на /run/systemd/resolve/resolv.conf , который автоматически обновляется в соответствии с netplan системы: sudo sh -c 'rm /etc/resolv.conf && ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf' После внесения этих изменений вам следует перезапустить systemd-resolved с помощью systemctl restart systemd-resolved

После установки pi-hole вам нужно будет настроить своих клиентов для его использования (см. здесь). Если вы использовали приведенную выше символическую ссылку, ваш хост докера будет использовать либо все, что обслуживается DHCP, либо любой статический параметр, который вы настроили. Если вы хотите явно указать серверы имен вашего хоста докера, вы можете отредактировать сетевые планы, найденные в /etc/netplan , а затем запустить sudo netplan apply . Пример сетевого плана:

 network :
    ethernets :
        ens160 :
            dhcp4 : true
            dhcp4-overrides :
                use-dns : false
            nameservers :
                addresses : [127.0.0.1]
    version : 2

Обратите внимание, что также можно полностью отключить systemd-resolved . Однако это может вызвать проблемы с разрешением имен в VPN (см. отчет об ошибке). Это также отключает функциональность netplan, поскольку systemd-resolved используется в качестве средства рендеринга по умолчанию (см. man netplan ). Если вы решите отключить службу, вам нужно будет вручную настроить серверы имен, например, создав новый файл /etc/resolv.conf .

Пользователям более старых версий Ubuntu (около 17.04) необходимо отключить dnsmasq.

@Rikj000 подготовил руководство, которое поможет пользователям установить Pi-hole на Dokku.

Основные теги Docker описаны в следующей таблице. Нажмите здесь, чтобы увидеть полный список тегов. См. примечания к выпуску GitHub, чтобы узнать конкретную версию Pi-hole Core, Web и FTL, включенную в выпуск.

Основанные на дате (включая увеличенные версии «Patch») не связаны с каким-либо семантическим номером версии, скорее дата используется для различения новой версии и старой версии, не более того. Примечания к выпуску всегда будут содержать полную информацию об изменениях в контейнере, включая изменения в основных компонентах Pi-hole.

К этому докеру применимы стандартные возможности настройки Pi-hole, но с некоторыми особенностями докера, такими как использование монтирования томов докера для сопоставления конфигураций хранимых на хосте файлов со значениями контейнера по умолчанию. Однако следует избегать установки этих файлов конфигурации только для чтения. Тома также важны для сохранения конфигурации в случае удаления контейнера Pi-hole, что является типичным шаблоном обновления докера.

Не пытайтесь обновить ( pihole -up ) или перенастроить ( pihole -r ). Новые образы будут выпущены для обновлений, обновление путем замены старого контейнера новым обновленным образом — это «способ докера». Долгоживущие докер-контейнеры не подходят для докеров, поскольку они стремятся быть переносимыми и воспроизводимыми, поэтому почему бы не создавать их почаще! Просто чтобы доказать, что ты можешь.

0. Прочтите примечания к выпуску как для этого выпуска Docker, так и для выпуска Pi-hole.
   • Это поможет вам избежать распространенных проблем, связанных с известными проблемами обновления или новыми необходимыми аргументами или переменными.
   • Мы также постараемся разместить общие неполадки/исправления в верхней части этого файла readme.
1. Загрузите последнюю версию образа: docker pull pihole/pihole
2. Выбросьте контейнер: docker rm -f pihole
   • Предупреждение. При удалении контейнера Pihole вы можете застрять без DNS до шага 3; docker pull перед docker rm -f, чтобы избежать прерывания DNS , ИЛИ всегда настройте резервный DNS-сервер, настроенный в DHCP, чтобы вообще избежать этой проблемы.
   • Если вы заботитесь о своих данных (журналы/настройки), убедитесь, что они сопоставлены с томами, иначе они будут удалены на этом этапе.
3. Запустите контейнер с новым базовым образом: docker run <args> pihole/pihole ( <args> — ваши предпочтительные тома запуска и переменные окружения)

Чем хорош этот стиль обновления? Несколько причин: все начинают с одного и того же базового образа, который был протестирован и признан работоспособным. При развертывании обновлений не нужно беспокоиться об обновлении с A на B, с B на C или с A на C, это снижает сложность и просто позволяет каждый раз «начинать заново», сохраняя при этом настройки томов. По сути, я поощряю принципы сервера Phoenix для ваших контейнеров.

Чтобы перенастроить Pi-hole, вам нужно будет либо использовать существующие переменные среды контейнера, либо, если нужная вам переменная отсутствует, используйте веб-интерфейс или команды CLI.

Вот несколько соответствующих вики-страниц из документации Pi-hole. Для внесения изменений в pihole можно использовать веб-интерфейс или инструменты командной строки.

Мы устанавливаем все утилиты pihole, чтобы встроенные команды pihole работали через docker exec <container> <command> следующим образом:

• docker exec pihole_container_name pihole updateGravity
• docker exec pihole_container_name pihole -w spclient.wg.spotify.com
• docker exec pihole_container_name pihole -wild example.com

Веб-сервер и службу DNS внутри контейнера при необходимости можно настроить. Любые файлы конфигурации, которые вы монтируете в /etc/dnsmasq.d/ будут загружаться dnsmasq при запуске или перезапуске контейнера или, если вам нужно изменить конфигурацию Pi-hole, она находится в /etc/dnsmasq.d/01-pihole.conf . Сценарии запуска Docker перед запуском запускают тест конфигурации, чтобы сообщить вам о любых ошибках в журнале Docker.

Аналогично для веб-сервера вы можете настроить конфигурации в /etc/lighttpd.

Пока ваша системная служба Docker автоматически запускается при загрузке и вы запускаете контейнер с --restart=unless-stopped ваш контейнер всегда должен запускаться при загрузке и перезапускаться при сбоях. Если вы предпочитаете, чтобы ваш Docker-контейнер работал как служба systemd, добавьте файл pihole.service в «/etc/systemd/system»; настройте любое имя вашего контейнера и удалите --restart=unless-stopped из запуска докера. Затем, после того как вы изначально создали Docker-контейнер с помощью приведенной выше команды docker run, вы можете управлять им с помощью «systemctl start pihole» или «systemctl stop pihole» (вместо docker start / docker stop ). Вы также можете включить его автоматический запуск при загрузке с помощью «systemctl Enable pihole» (в отличие от --restart=unless-stopped и обеспечения автоматического запуска службы Docker при загрузке).

ПРИМЕЧАНИЕ. После первоначального запуска вам может потребоваться вручную остановить Docker-контейнер с помощью «docker stop pihole», прежде чем systemctl сможет начать управлять контейнером.

DNSMasq/FTLDNS предполагает наличие следующих возможностей:

• CAP_NET_BIND_SERVICE : разрешает привязку FTLDNS к сокетам TCP/UDP ниже 1024 (в частности, служба DNS на порту 53).
• CAP_NET_RAW : использовать необработанные и пакетные сокеты (необходимы для обработки запросов DHCPv6 и проверки того, что IP-адрес не используется, прежде чем сдавать его в аренду)
• CAP_NET_ADMIN : изменение таблиц маршрутизации и других операций, связанных с сетью (в частности, вставка записи в таблицу соседей для ответа на запросы DHCP с использованием одноадресных пакетов).
• CAP_SYS_NICE : FTL назначает себя важным процессом, чтобы получить больше времени обработки, если последнее заканчивается.
• CAP_CHOWN : нам нужно иметь возможность менять владельца файлов журналов и баз данных в случае, если FTL запускается от имени другого пользователя, чем pihole

Этот образ автоматически предоставляет эти возможности, если они доступны, процессу FTLDNS, даже если он запущен от имени пользователя без полномочий root.
По умолчанию Docker не включает возможность NET_ADMIN для непривилегированных контейнеров, и рекомендуется явно добавить ее в контейнер с помощью --cap-add=NET_ADMIN .
Однако, если объявления маршрутизатора DHCP и IPv6 не используются, можно безопасно пропустить их. Для самых параноиков должна быть возможность даже явно отключить возможность NET_RAW , чтобы предотвратить ее автоматическое получение FTLDNS.

Мы заметили, что многие люди используют Watchtower для обновления своих контейнеров Pi-hole. По той же причине, по которой мы не предоставляем функцию автоматического обновления при установке на «голое железо», у вас не должно быть системы, автоматически обновляющей ваш контейнер Pi-hole. Особенно без присмотра. Как бы мы ни старались гарантировать, что ничего не пойдет не так, иногда что-то идет не так, и вам нужно выделить время, чтобы вручную извлечь и обновить версию контейнера, который вы хотите запустить. Процесс обновления должен осуществляться следующим образом:

• Важно : прочтите примечания к выпуску. Иногда вам нужно будет внести другие изменения, помимо простого обновления изображения.
• Вытащите новое изображение
• Остановите и удалите работающий контейнер Pi-hole.
  • Если вы заботитесь о своих данных (журналы/настройки), убедитесь, что они сопоставлены с томами, иначе они будут удалены на этом этапе.
• Воссоздайте контейнер, используя новый образ.

Pi-hole — неотъемлемая часть вашей сети, не позволяйте ей выйти из строя из-за автоматического обновления посреди ночи.

Пожалуйста, сообщайте о проблемах в проекте GitHub, если вы подозреваете, что что-то связано с Docker. На вопросы о Pi-hole или общих вопросах о докере лучше всего отвечать на наших форумах пользователей.