PI-Hole

Qu’est-ce que Pi-hole ?

Pi-hole est un serveur DNS récursif local qui intercepte les requêtes DNS vers des domaines tiers utilisés pour la publicité, le tracking ou les malwares. Il agit comme un sinkhole DNS : si un domaine correspond à une entrée dans une blocklist, il est redirigé vers une IP nulle (0.0.0.0) ou une page locale vide.

Network-wide ad blocking via your own Linux hardware

Cas d’usage

• Réduction drastique de la publicité sur les navigateurs, apps, télévisions connectées, objets IoT.
• Surcouche de protection contre les domaines malveillants.
• Surveillance DNS fine (identification des appareils “bavards”).
• Complément de sécurité en entreprise ou dans les foyers.

🔧 Déploiement de Pi-hole

1. Matériel requis

• Un Raspberry Pi (modèle 3/4 ou Pi Zero 2 W suffisent).
• Ou une VM sous Debian/Ubuntu.
• Connexion réseau stable.
• Un routeur configurable manuellement.

2. Installation

Sur Debian/Ubuntu (ou Raspberry Pi OS), utilisez le script d’installation officiel :

curl -sSL https://install.pi-hole.net | bash

L’assistant vous guidera pour :

• Choisir l’interface réseau
• Définir le DNS en amont
• Attribuer une IP statique
• Configurer le mot de passe d’administration

3. Configuration réseau

Option 1 : Routeur – Redirigez tous les clients LAN vers le Pi-hole comme DNS primaire.

Option 2 : Appareils manuels – Définissez l’adresse DNS de Pi-hole sur chaque client manuellement.

⚙️ Optimisation et sécurité

Blocklists personnalisées

Ajoutez des listes supplémentaires via l’interface :

• https://firebog.net/
• https://oisd.nl/

Interface : Group Management → Adlists → Add a new list

Utiliser Unbound comme résolveur DNS local

sudo apt install unbound

Fichier : /etc/unbound/unbound.conf.d/pi-hole.conf

server:
    interface: 127.0.0.1
    port: 5335
    do-ip4: yes
    prefetch: yes
    hide-identity: yes
    use-caps-for-id: yes

Pi-hole → Settings → DNS → Upstream → 127.0.0.1#5335

Sécuriser l’interface

pihole -a -p

Optionnel : Reverse proxy + HTTPS (Nginx, Traefik, Caddy…)

📊 Statistiques et logs

• http://IP_DE_PIHOLE/admin → interface Web
• pihole -t → live DNS log en CLI

❗ Limites

• Pubs in-app comme YouTube ne passent pas par DNS → non bloquées
• Blocklists trop agressives = faux positifs
• Certains clients utilisent DoH natif (contournement DNS)

Astuce : forcer le trafic DNS sortant

Créez une règle NAT sur votre routeur pour rediriger tout DNS sortant (port 53) vers l’IP de Pi-hole.

🔗 Liens utiles

• Site officiel
• GitHub Pi-hole
• Guide Unbound + Pi-hole

🧩 Conclusion

Pi-hole est un outil extrêmement efficace pour reprendre le contrôle sur votre réseau local. Il bloque la publicité, réduit le tracking, tout en offrant une vue d’ensemble sur l’activité DNS. Une fois intégré à un VPN ou couplé à Grafana, il devient une brique essentielle d’une infrastructure auto-hébergée moderne.