PiHole, un excellent bloqueur de publicité

Bonjour,

Tiens c'est bizarre, y'a un autre post sur AdGuard qui a le même titre. Oui, je n'ai pas réussi à choisir et au final j'utilise les deux, ça me permet d'avoir une certaine redondance même si c'est certainement inutile. Lequel des deux est le mieux ? En résumé, AdGuard est simple de prise en main avec une interface logique et épurée alors que Pihole est plus complexe mais dispose de plus de données et de choix. A noter que AdGuard propose nativement DoH & DoT ce qui pour beaucoup fera pencher très fortement la balance.

Les prérequis pour l'installation:
- Docker
- Docker Compose

Dans votre répertoire principal ou sont vos dockers, on va commencer par créer le réseau "backend".

docker network create backend

Le réseau "backend" chez moi est le réseau qui n'est pas sensé être en frontal avec internet et dans lequel les services n'ont pas de frontend exposés. Dès que j'ai un frontend exposé, j'utilise un reverse-proxy + authentification pour sécuriser (et Cloudflare pour rajouter une couche).

Le docker compose qui va bien (je ne m'amuse pas à faire un docker-compose par service, je ne vois pas l'intérêt à part perdre du temps quand on veut faire des modifications / relancer des applications, après libre à vous de le découper suivant vos besoins / installations ):

version: "3.9"

########################### NETWORKS ###############################################
networks:
  #traefik:
  #  external: true
  backend:
    external: true
    #name: backend if external false
    #driver: bridge

########################### SERVICES ###############################################
services:
############################### PORTAINER #######################################################     
  portainer:
    # Installer Portainer / Interface graphique docker
    # https://hub.docker.com/r/portainer/portainer-ce
    container_name: portainer
    image: portainer/portainer-ce:latest
    restart: unless-stopped
    command: -H unix:///var/run/docker.sock
    security_opt:
      - no-new-privileges:true      
    networks:
      - backend
    ports:
      - "$PORTAINER_PORT:9000"
      - "$PORTAINERSERVER_PORT:8000"   
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - $USERDIR/Portainer:/data 
      - /etc/localtime:/etc/localtime:ro
      - /etc/timezone:/etc/timezone:ro
      
 ############################## MAINTENANCE ################################################### 
  watchtower:
    # Watchtower detects if any linked containers have a new image available, automatically updating & restarting them if needed.
    # https://hub.docker.com/r/containrrr/watchtower
    container_name: watchtower
    image: containrrr/watchtower:latest
    restart: unless-stopped
    security_opt:
      - no-new-privileges:true
    networks:
      - backend
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    environment:
      - TZ=$TZ
      - WATCHTOWER_CLEANUP=true
      - WATCHTOWER_INCLUDE_RESTARTING=true
      #- WATCHTOWER_POLL_INTERVAL=60
      - WATCHTOWER_DEBUG=false
      - WATCHTOWER_SCHEDULE=0 0 3 * * *  
      
 ########################### UTILITIES ################################################
  dozzle:
    # Dozzle - Real-time Docker Log Viewer
    # https://hub.docker.com/r/amir20/dozzle
    image: amir20/dozzle:latest
    container_name: dozzle
    restart: unless-stopped
    security_opt:
      - no-new-privileges:true
    networks:
      - backend
    ports:
      - "$DOZZLE_PORT:8080"
    environment:
      DOZZLE_LEVEL: info
      DOZZLE_TAILSIZE: 300
      DOZZLE_FILTER: "status=running"
      # DOZZLE_FILTER: "label=log_me" # limits logs displayed to containers with this label     
      TZ: "$TZ"      
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock     

 ###################################### DNS ################################################# 
  pihole:
    # Pihole - Remove ads via DNS
    # https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
    # https://hub.docker.com/r/pihole/pihole
    # Image :nightly
    container_name: pihole
    image: pihole/pihole:latest
    restart: unless-stopped
    #security_opt:
    #  - no-new-privileges:false
    networks:
      - backend       
    ports:
      - "$PIHOLEDNS_PORT:53/tcp"
      - "$PIHOLEDNS_PORT:53/udp"
      - "67:67/udp"
      - "$PIHOLEHTTP_PORT:80/tcp"
      - "$PIHOLEHTTPS_PORT:443/tcp"
    volumes:
      - '$USERDIR/PiHole/etc-pihole/:/etc/pihole/'
      - '$USERDIR/PiHole/etc-dnsmasq.d/:/etc/dnsmasq.d/'
    environment:
      TZ: $TZ   
      #WEBPASSWORD: $PIPASS    #Use for the first run to define your password
    # Recommended but not required (DHCP needs NET_ADMIN)
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add:
      - NET_ADMIN 
      - SETUID
      - SETGID
    dns:
      - 127.0.0.1
      - 192.168.1.1 

J'utilise toujours la même structure pour mes VMs / containers. En plus de PiHole, j'ai ajouté les containers suivant (vous pouvez les enlever si ils ne vous intéressent pas) que je considère comme indispensables pour une utilisation / debugging plus simple:
- Portainer: il me permet de gérer simplement mes containers, les relancer / détruire, virer les images, etc...
- Dozzle est un utilitaire qui permet de lire très facilement les logs des containers.
- Watchtower permet quand à lui de mettre à jour automatiquement les containers quand une nouvelle image est disponible (ici à 3h du matin chaque jour). Le but c'est de tout automatiser, pas de s'amuser à faire les mises à jour à la main ou tous les deux ans avec une version spécifique d'où le "latest" pour tous les containers. Alors oui, il peut arriver que lors d'une mise à jour automatique ça casse tout mais bon ça doit arriver 2x par an au maximum alors que j'ai en permanence plus d'une quarantaine de containers qui tournent. Not worth the hassle comme on dit chez Sam.

Toutes mes variables sont des $qqch. Elles sont toutes stockées dans un fichier .env à la racine de mes dockers pour plus de simplicité.  On ouvre donc ce fichier :

nano .env

Et voici à quoi ça ressemble en exemple dans ce fichier .env :

################## SYSTEM ########################
PUID=1001 
PGID=1001
TZ=Europe/Paris 
USERDIR=/home/docker
USER_EMAIL=emailmoi@mondomaine.com 
MY_EMAIL=emailmoi@mondomaine.com
SERVER_IP=192.160.125.101
COMPOSE_PROJECT_NAME=PiHole

############## PORTS ###########################
PORTAINER_PORT=9000 
PORTAINERSERVER_PORT=8000
DOZZLE_PORT=8071 
PIHOLEHTTP_PORT=80
PIHOLEHTTPS_PORT=443
PIHOLEDNS_PORT=53
PIPASS=password

Rien de transcendant ici, faites bien attention à bien définir votre USERDIR là ou seront les répertoires permanents des containers.

C'est terminé ? Pour docker oui, il ne reste plus qu'à lancer les containers :

docker-compose up -d

Pour configurer Pihole, il faut vous rendre sur http://votreip/admin. Soit vous avez défini un mot de passe via votre docker, soit il faudra aller l'indiquer via la console du container.

pihole -a -p somepasswordhere

Via la console de portainer, voici ce que ça donne:

Pour la configuration, c'est ultra simple, il suffit de se rendre dans Settings/DNS et de choisir votre DNS :

Sur la même page, je vous conseille de cocher ces options :

Pour rajouter des blocklists, il faut vous rendre dans Group Management/Adlists :

Je vous conseille les listes de Firebog.

Et voila, vous avez un DNS Blacklist fonctionnel qui va vous permettre de filtrer la majeure partie des pubs et des trackers sur le net !

@+