A maioria das pessoas para no Pi-hole, mas sem limites é uma atualização de privacidade que sua rede doméstica realmente precisa

Pi-hole é uma das melhores atualizações que você pode fazer em sua rede doméstica se tiver um dispositivo capaz de hospedá-la. Claro, existem outras alternativas como o AdGuard Home, mas o Pi-hole possui uma interface de usuário muito fácil de entender que o torna uma das melhores opções.

No entanto, o Pi-hole por si só não é a única solução para tornar as consultas DNS da sua rede mais seguras e privadas. Se você deseja levar a privacidade da sua rede para o próximo nível, o DNS não vinculado é a maneira de fazer isso, e combiná-lo com o Pi-hole é a configuração perfeita para equilibrar facilidade de uso e privacidade.

Pi-hole é ótimo para bloquear anúncios (e muito mais).

Mas ainda precisa de um servidor DNS

Pi-hole é uma ferramenta para lidar com consultas DNS e é ótima para bloquear ou filtrar determinadas solicitações. Você pode usá-lo para monitorar solicitações em sua rede para saber para onde está indo o tráfego e também pode bloquear algumas dessas solicitações, como um dispositivo doméstico inteligente que gosta de ligar para sua casa com muita frequência ou simplesmente bloquear o acesso a sites adultos.

Claro, muitas pessoas o usam para bloquear anúncios. Você pode adicionar servidores de anúncios conhecidos para bloquear listagens no Pi-hole e tornar toda a sua rede livre de anúncios na Internet, exceto em lugares como o YouTube, onde os anúncios em vídeo são imunes a eles. Já existem listas de bloqueio populares online para tornar isso mais fácil, para que você possa importá-las e pronto.

Mas o Pi-hole na verdade não resolve nenhuma de suas consultas de DNS. Ele verifica se eles correspondem aos seus filtros e descarta todas as conexões bloqueadas e, em seguida, conecta-se a um servidor resolvedor DNS upstream como o Google para realmente determinar a qual IP um determinado endereço está associado. Isso significa que todas as suas solicitações de DNS ainda são registradas pelo Google ou por qualquer resolvedor externo que você usa, o que significa que terceiros ainda conhecem suas conexões com qualquer site.

Adiciona uma camada de privacidade sem limites

Afinal, quem precisa do Google?

É aqui que o DNS não consolidado entra em ação. Unbound é um resolvedor de DNS “local, confirmatório e recursivo”, o que significa que usa uma lista integrada de servidores de nomes raiz que primeiro resolvem domínios para dicas de raiz (por exemplo .líquido ou .com), que então responde com o domínio de nível superior, que pode então determinar quais servidores de nomes autoritativos estão lidando com o domínio específico que você está procurando e só então solicita esse servidor de nomes autoritativo para o IP associado a esse domínio.

Essa abordagem recursiva abstrai suas consultas DNS para que suas solicitações não passem por um único servidor e não registrem sua atividade na Internet como um todo. Em vez de usar o Google para resolver cada consulta DNS, o Google só saberá que você fez isso se estiver procurando um site do Google.

A desvantagem disso é que sua solicitação inicial ao site demorará mais, pois várias solicitações devem ser feitas para chegar ao endereço IP real. No entanto, as consultas subsequentes ao mesmo domínio de nível superior são resolvidas com muito mais rapidez.

O Unbound tem muitos recursos que se sobrepõem aos do Pi-hole, mas o último tem uma interface muito mais amigável para visualizar logs de consulta DNS, definir listas de bloqueio e assim por diante. A melhor solução para emparelhá-los é simplesmente definir o Unbound como o resolvedor DNS upstream no Pi-hole. Dessa forma, o Pi-hole ainda cuida de toda a filtragem de domínios indesejados e fornece um bom painel para visualizar suas consultas, enquanto o Unbound lida com consultas DNS que precisam sair da sua rede de uma forma muito mais privada em comparação com o uso de servidores DNS públicos conhecidos, mas você não precisa interagir com ele regularmente.

Configurar é relativamente fácil

Em termos de padrões de auto-hospedagem, isto é

A execução do Pi-hole com Unbound pode depender da sua configuração. Alguns roteadores, em particular o OPNsense, facilitam a configuração do Unbound, mas não tenho um desses roteadores. Eu tenho um Pi-hole rodando em uma máquina virtual TrueNAS no Proxmox, então originalmente pensei em configurar o Unbound no TrueNAS também, mas não existe um aplicativo Unbound fácil de instalar no mercado. Então mudei para o próprio Proxmox.

Existe um script auxiliar Proxmox para configurar o Unbound LXC, mas tive alguns problemas para executá-lo, então, em vez disso, construí um Debian LXC simples e instalei o Unbound nele usando o gerenciador de pacotes padrão. Segui o guia oficial do Unbound para a configuração básica do próprio Unbound e também adicionei uma regra de firewall ao Proxmox LXC para aceitar solicitações de DNS recebidas.

Foi então uma simples questão de apontar o servidor DNS do roteador para minha instância Pi-hole e, em seguida, apontar Pi-hole para usar meu Debian LXC como o resolvedor DNS upstream. Confesso que fiquei quase surpreso ao ver tudo funcionando bem, mas foi um momento mágico. Usando os logs do Pi-hole, consegui verificar se as solicitações estavam sendo encaminhadas para o LXC em execução de forma desvinculada e, ao ativar o registro desvinculado, também pude ver que ele estava recebendo solicitações em tempo real. Descobrir tudo isso em tempo real para escrever este artigo foi um tanto frustrante, mas na verdade foi mais fácil de configurar do que eu esperava.

Pi-hole e Unbound formam uma combinação fantástica

A auto-hospedagem sempre significou mais controle sobre seus dados e privacidade e, embora o Pi-hole já tenha tido sucesso no bloqueio de sites e servidores que exibem anúncios ou outros conteúdos indesejados, o Unbound é uma inovação de privacidade que definitivamente vale a pena considerar. Isso torna sua conexão com a Internet mais privada desde o início, já que até mesmo a resolução de URLs é feita de maneira mais privada, em vez de depender de servidores centralizados. Claro, se você quiser configurá-lo para obter confiabilidade máxima, você pode querer várias instâncias desconectadas, assim como você pode querer vários furos Pi, mas o princípio básico é sempre o mesmo.