[Debian 9] Installation de Pi-Hole

Pi-hole, c’est le genre d’outil à garder au plus vite dans sa malette et de diffuser la bonne parole !

En effet, Pi-hole est un utilitaire sous Linux vous permettant de filtrer des adresses DNS, évitant ainsi de très (trop !) nombreuses requêtes DNS lorsque vous naviguez.
Particulièrement intéressant par son exploitation, vous n’avez que quelques manipulations pour protéger votre réseau local et ainsi en faire bénéficier toutes vos machines ! Il n’y a aucune application à installer sur les machines, ni même de configuration complexe à faire.

Autre point important souligné par vos chers lecteurs, sa souplesse et sa légèreté : Pi-Hole est conçu pour travailler sur de petite machine, tel un Raspberry Pi Zero ! Pas besoin d’un serveur gavé de RAM, une « pico-machine » sous ARM fera amplement l’affaire.

Il ne s’agit pas d’un serveur Proxy, bel et bien d’un résolveur DNS avec une option de filtrage à la volée. Il n’y a pas d’interception, d’inspection, de sniffing de paquets.


En bref, Pi Hole intègre plusieurs outils en un, sans avoir à modifier un fichier de configuration :

  • Serveur web « lighttpd » pour fournir une interface web de contrôle/configuration du Pi Hole
  • « DNSMasq » pour la partie DNS et DHCP
  • L’outil « curl » pour la récupération d’adresses et la mise en place de listes

Pour cet article, je me base sur une machine virtuelle VMware faisant tourner un Debian en 9.5.
Dans un premier temps, il faut configurer une adresse IP fixe sur votre carte réseau. C’est indispensable pour avoir une configuration pérenne – Pi Hole vous demandera une IP fixe si votre carte réseau est toujours configurée en DHCP.

Une fois la carte prête, connectez-vous en tant que root – Il est préférable d’être root pour éviter les problèmes de droits lors de l’installation. Une seule commande est à saisir pour lancer l’installation de Pi Hole :

curl -sSL https://install.pi-hole.net | bash

Le script d’installation se récupère depuis le site officiel du projet Pi Hole – les paquets manquants sur votre système seront automatiquement installés.

Une fois le script lancé, une première question vous sera posée : le serveur DNS qui servira de serveur primaire à contacter depuis votre Pi Hole. En effet, même si Pi Hole bloque les liens / adresses / redirections DNS inutiles, il faut toutefois rediriger sur un vrai serveur DNS les requêtes utiles – ici, j’ai choisi d’exploiter les DNS de Quad9.

S’en suit la liste de plusieurs sources disposant des liens à bloquer. Par défaut, le mode de blocage n’est pas trop agressif, vous pourrez quand même naviguer sur le web sans être trop bloqué.
J’ai donc laissé toutes les cases cochées, comme ci-dessous :

Quelques options arriveront, notamment si vous souhaitez exploiter votre Pi-Hole sur de l’IPv4 et ou IPv6, puis si vous souhaitez installer l’interface web pour manager/superviser le système – J’ai laissé les options par défaut, à savoir l’exploitation de l’IPv4 et 6, puis le serveur web.

Enfin, après quelques instants, votre Pi-Hole est maintenant installé ! L’exploitation peut désormais commencer…

Vous avez plusieurs possibilités pour utiliser Pi-Hole :

  • mettre directement l’IP du Pi-Hole dans votre routeur, dans la partie configuration DNS : ainsi, toutes les machines connectées sur le réseau (que ce soit PC, téléphones ou autres) bénéficieront du blocage DNS des flux non sollicités.
  • mettre l’IP du Pi-Hole dans la configuration de la carte réseau de la ou les machines : seules les machines ayant le DNS vers Pi-Hole bénéficieront du blocage DNS des flux non sollicités. Cette option est plus « manuelle » et moins « industrialisable ». C’est toutefois la solution à retenir lorsque vous ne pouvez pas modifier les serveurs DNS directement dans votre retour (si vous avez une Livebox Orange par exemple)
  • (chuchoté par vous) : si votre box/routeur ne vous permez pas de modifier les adresses, vous pouvez couper le DHCP côté box/routeur et activer le serveur DHCP de Pi-Hole. Les machines de votre réseau auront un adressage IP grâce à Pi-Hole et ainsi auront la configuration adéquat pour exploiter le blocage DNS.

Dernier point avant de vous connecter sur l’interface web et de tester le produit, le mot de passe admin de l’interface web. La page Pi-Hole est protégée par un mot de passe qu’il faut initialiser. Re-connectez-vous dans la machine Pi-Hole puis lancez la commande suivante :

sudo pihole -a -p

Le mot de passe doit être saisi deux fois pour être validé.


L’interface web de Pi-Hole est particulièrement intéressante, compte-tenu des statistiques qu’elle apporte… En l’espace d’une quinzaine de minutes de navigation sur quelques sites web, plus de 243 flux ont été bloqués !! Impressionnant…

Agrandissez-moi !

La page web ajoute aussi des options utiles, comme des listes blanches ou des listes noires de sites web, la modification des listes de blocage et d’autres…
Il est aussi possible de mettre à jour Pi-Hole par cette page web, en plus de pouvoir stopper pendant un temps défini la protection (utile si vous êtes totalement bloqué sur un site web marchand).

Enfin, une option qui m’a particulièrement attiré : l’anonymisation. Dans les options de la page web, vous pouvez cacher les adresses et ou les IP/clients de vos stats ; un mode « paranoia » est disponible, celui-ci ne stocke aucune donnée, il affichera uniquement les informations anonymes publiques disponibles.

En bref, un must-have sur votre réseau !! Votre bande passante sera moins exploitée dans le vide…

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

7 commentaires

  1. Très bonne article, mais tu passes sur des points particulièrement intéressant :

    Tu critiques la box Orange qui ne permet pas de changer les DNS, mais Pi-Hole fait serveur DHCP, il suffit de désactiver le DHCP sur la box Orange et d’utiliser le Pi-Hole pour ça.

    Tu ne mentionne pas non plus le fait que Pi-Hole tourne sur du hardware ultra light, genre un Pi-Zéro, qui peux être intéressant puisque tu l’installes et tu l’oublies.

    1. En effet, via l’outil dnsmasq qu’embarque Pi-Hole, on peut aisément remplacer le serveur DHCP de sa box/son routeur et laisser la « charge » pour Pi-Hole 😉
      De plus, les Pi sont très largement exploitables pour Pi-Hole – d’où le nom… ? J’ajoute immédiatement ça dans l’article !!
      Merci pour le retour 🙂

    1. Salut !
      Unbound est une sorte de concurrent à dnsmasq – les deux remplissent très bien leur rôle !! La liste que tu fournis est intéressante, parce qu’elle semble être à jour assez fréquemment et en plus, elle est efficace d’après ton retour. En parcourant le GitHub, le fichier est transformable pour l’ajouter à Pi-Hole !
      Les graphs et les stats, c’est tout un art !! Ici, ça évite des heures d’embrouilles avec rrdtool par exemple… 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Share This
Fermer
Fermer