# Pi-hole: Como Bloquear Anuncios em Toda Rede Domestica

> Pi-hole é um servidor DNS gratuito e open source que bloqueia anúncios, rastreadores e domínios maliciosos para todos os dispositivos de uma rede doméstica simultaneamente, sem necessidade de instalar software individual em cada aparelho. Funciona redirecionando as consultas DNS do roteador para um Raspberry Pi, mini PC ou container Docker, onde listas negras filtram requisições&hellip;

Fonte: https://www.baixar.xyz/pi-hole-dns-bloqueador-tutorial/
Atualizado: 2026-06-05

---

Pi-hole é um servidor DNS gratuito e open source que bloqueia anúncios, rastreadores e domínios maliciosos para todos os dispositivos de uma rede doméstica simultaneamente, sem necessidade de instalar software individual em cada aparelho. Funciona redirecionando as consultas DNS do roteador para um Raspberry Pi, mini PC ou container Docker, onde listas negras filtram requisições antes que alcancem os clientes. Quando um domínio está bloqueado, retorna um endereço nulo, impedindo o carregamento de anúncios e rastreadores. O projeto, iniciado em 2014 e mantido sob licença EUPL, combina o servidor DNS dnsmasq com uma interface web em PHP para gerenciamento. Consome recursos mínimos de RAM e funciona em qualquer distribuição Linux baseada em Debian, Ubuntu, Fedora ou Arch. Além de bloquear conteúdo indesejado, Pi-hole oferece suporte a DNS-over-HTTPS e DNS-over-TLS, encriptando consultas ao repassá-las para resolvedores upstream confiáveis, mantendo privacidade na navegação doméstica.

**Resposta rápida:** Pi-hole é um servidor DNS gratuito que filtra anúncios, rastreadores e domínios maliciosos para todos os dispositivos de uma rede ao mesmo tempo, sem instalar nada nos celulares, TVs ou notebooks. Roda em um Raspberry Pi, em um mini PC ou dentro de Docker em servidor caseiro, gasta menos de cinquenta megabytes de RAM e bloqueia em média entre vinte e quarenta por cento das consultas DNS de uma casa típica em 2026.

A ideia é elegante e antiga: em vez de instalar bloqueadores em cada dispositivo (uBlock Origin no Chrome, AdGuard no celular, NextDNS no roteador), você aponta o servidor DNS do roteador para o IP do Pi-hole na rede local; tudo que sai pela porta 53 (e DNS-over-HTTPS encapsulado em alguns clientes) passa por ele; consultas a domínios em listas negras retornam endereço nulo, e os clientes simplesmente não carregam o anúncio. O Pi-hole também serve como gateway de DoH e DNS-over-TLS, recebendo as consultas em texto claro da LAN e repassando criptografadas para um resolvedor upstream confiável.

## O que é o Pi-hole e por que ele continua relevante em 2026

O Pi-hole é um projeto open source iniciado em 2014, mantido por uma equipe pequena com Jacob Salmela e Dan Schaper à frente, e licenciado em EUPL. Combina o servidor DNS recursivo dnsmasq (ou o cliente Unbound opcional como upstream) com um servidor web Apache ou lighttpd que serve a interface administrativa em PHP. Esse stack roda em qualquer distribuição Linux baseada em Debian, Ubuntu, Fedora ou Arch, com instalação por um script “curl pipe bash” controverso mas amplamente testado, ou via container Docker oficial.

Em 2026, mesmo com a popularização do DNS-over-HTTPS direto no navegador (Chrome, Firefox e Safari ativam automaticamente para domínios públicos) e a chegada de soluções gerenciadas como o NextDNS e o ControlD, o Pi-hole continua relevante por três razões. Primeira, controle local total: as listas de bloqueio, os domínios permitidos, os clientes monitorados e os logs ficam na sua casa, não em servidor de terceiros. Segunda, custo zero recorrente: depois do hardware (cerca de duzentos reais um Raspberry Pi Zero 2 W usado, ou aproveitando um mini PC inativo), você não paga assinatura. Terceira, granularidade por dispositivo: você bloqueia anúncios na smart TV da sala mas libera no notebook do filho que precisa de um site específico para tarefa escolar, sem precisar configurar nada nos dispositivos.

## Pi-hole vs AdGuard Home vs NextDNS — qual escolher

| Critério | Pi-hole 6 | AdGuard Home 0.107 | NextDNS |

| Modelo | Self-hosted, on-prem | Self-hosted, on-prem | Serviço gerenciado, anycast |

| Custo | Grátis, sem limite | Grátis, sem limite | Plano grátis 300k consultas/mês; pago 2 USD/mês |

| Interface | Web em PHP, funcional, sem polidez extrema | Web em Go, moderna, dark mode nativo | Web Vue, polida, perfis multi-dispositivo |

| DoH/DoT integrado | Opcional via Unbound | Nativo | Nativo |

| DNSSEC | Sim, via Unbound | Sim, nativo | Sim |

| Listas padrão | Steven Black + 5 padrão | AdGuard padrão + EasyList | Big Five (mantida pelo NextDNS) |

| Bloqueio por client | Sim, granular | Sim, granular | Sim, por perfil |

| Privacidade do registro | Local, você controla | Local, você controla | Anonimizada ou desativada |

| Curva de instalação | Média (script Linux ou Docker) | Baixa (binário único) | Mínima (cadastro + IP do roteador) |

Em síntese, o Pi-hole é o mais ajustável e tem a comunidade mais ativa em fóruns e listas de bloqueio mantidas pela comunidade. O [AdGuard Home](https://www.baixar.xyz/adguard-home/) tem instalação simples e interface mais moderna, sendo a porta de entrada de muitos iniciantes em 2026. O NextDNS exige zero hardware mas você confia a empresa com seus logs e fica dependente da assinatura para volume alto.

## Como instalar o Pi-hole em uma Raspberry Pi 4 ou Pi Zero 2 W

O caminho mais limpo continua sendo a instalação direta em Raspberry Pi OS Lite (sem interface gráfica). Grave a imagem no cartão SD usando o Raspberry Pi Imager, habilite SSH e usuário antes de gravar (atalho Ctrl+Shift+X), defina IP fixo no roteador para o Pi (ou via “dhcpcd.conf” no próprio Pi). Ao primeiro boot, conecte via SSH e atualize o sistema com “apt update && apt full-upgrade -y && reboot”. Depois rode o instalador oficial: “curl -sSL https://install.pi-hole.net | bash”. O assistente em ncurses pergunta o IP de gateway, o resolvedor upstream (Quad9, Cloudflare, Google ou Custom), as listas de bloqueio iniciais e a senha do painel.

Após instalar, acesse “http://IP-DO-PI/admin” e copie a senha gerada no terminal final. A primeira providência é entrar em “Settings” e mudar o upstream para um resolvedor com DNSSEC (Quad9 é recomendado por segurança; Cloudflare 1.1.1.1 é o mais rápido para usuários brasileiros). Em “Group Management” você cria grupos como “Casa”, “Crianças”, “Trabalho” e associa clientes (por MAC ou IP) para aplicar políticas diferentes.

A configuração final é apontar o roteador para usar o IP do Pi como DNS primário. Em roteadores domésticos comuns (TP-Link, Intelbras, Mercusys, ASUS), o caminho é Configurações Avançadas, Rede, LAN ou DHCP, campo “Servidor DNS Primário”. Salve, reinicie o roteador, force renovação de IP nos clientes (ou aguarde o lease expirar) e em uma hora você verá o painel do Pi-hole registrando consultas.

## Pi-hole em Docker com docker-compose 2026

Para quem já tem um mini servidor caseiro ou NAS rodando Docker (Synology, TerraMaster, NUC com Debian, Proxmox com VM), a instalação via container é a alternativa mais limpa. O arquivo “docker-compose.yml” recomendado pela equipe oficial define a imagem “pihole/pihole:latest”, expõe a porta 53 em UDP e TCP, a porta 80 para a interface, define duas pastas de volume persistente (“./etc-pihole” e “./etc-dnsmasq.d”) para que reinícios não percam configuração, e injeta a senha do painel via variável de ambiente “WEBPASSWORD”.

Uma armadilha comum em 2026 é o conflito de porta 53 com o systemd-resolved que algumas distribuições ativam por padrão (Ubuntu Server 22.04, Debian 12). Antes de subir o container, desabilite o stub local em “/etc/systemd/resolved.conf” (DNSStubListener=no), aponte “/etc/resolv.conf” para o IP do Pi-hole após o container subir, e reinicie o serviço. A documentação oficial em docs.pi-hole.net descreve o ajuste em uma página dedicada e poupa horas de depuração.

Outra prática em 2026 é combinar Pi-hole com Unbound como resolvedor recursivo no mesmo host. Em vez de delegar a consulta para Cloudflare ou Quad9, o Unbound consulta a raiz DNS direto, eliminando o intermediário, ganhando privacidade e habilitando DNSSEC fim a fim. A configuração é um arquivo “/etc/unbound/unbound.conf.d/pi-hole.conf” com cerca de vinte linhas, copiável da documentação, e ajusta o upstream do Pi-hole para “127.0.0.1#5335”. Em RPi 4 o uso de RAM aumenta uns trinta megabytes, totalmente aceitável.

## Listas de bloqueio recomendadas e gestão de falsos positivos

O Pi-hole vem com cinco listas padrão (Steven Black hosts é a principal) e bloqueia cerca de cento e vinte mil domínios na instalação base. Para casa típica em 2026, esse conjunto resolve oitenta por cento dos casos. Para subir o teto, adicione listas curadas em “Group Management, Adlists”: “OISD Full” (mantida ativamente, equilibra bloqueio agressivo e baixíssimos falsos positivos), “1Hosts Pro” (forte contra rastreadores móveis), “Hagezi Pro Plus” (uma das melhores para Smart TVs e IoT) e listas regionais como a “EasyList Portuguese” para anúncios de sites em português.

Falsos positivos acontecem — sites legítimos que dependem de domínios usados por trackers (analytics próprios, CDNs híbridos, login social embutido). Quando algum site quebrar, abra “Tools, Query Log”, filtre pelo cliente que reclamou, identifique os domínios bloqueados e adicione os necessários em “Domains, Allowlist” exatos ou por padrão regex. Evite a tentação de desativar o bloqueio inteiro do dispositivo; a granularidade do Pi-hole permite resolver o caso pontual sem perder a proteção geral.

## Quando NÃO usar o Pi-hole

O Pi-hole não substitui antivírus, firewall ou navegador endurecido. Ele atua só no plano DNS, então um anúncio servido pelo próprio domínio do site (first-party ads do YouTube, anúncios injetados em apps móveis via servidor próprio) passa sem ser bloqueado. Para esses casos, combine Pi-hole com extensões de navegador como uBlock Origin e, em smart TVs, com perfil DNS-over-TLS apontando para o Pi-hole no roteador.

Também não é a melhor escolha para usuários que viajam muito e querem o bloqueio em qualquer rede. O Pi-hole funciona dentro da sua LAN; fora dela você precisa expô-lo via VPN reversa (WireGuard, [Tailscale](https://www.baixar.xyz/tailscale-vpn-rede-privada-gratuita/)) ou aceitar que a proteção sumiu. Quem viaja muito tende a se beneficiar mais de NextDNS ou ControlD, que oferecem o mesmo bloqueio em qualquer rede via DoH no celular.

Para redes corporativas com dezenas de milhares de clientes, o Pi-hole pode escalar mas exige tuning agressivo do dnsmasq e logs em base de dados externa. Empresas costumam preferir AdGuard Home em alta disponibilidade ou serviços comerciais como Cisco Umbrella para esse porte.

## Segurança operacional do Pi-hole

Mantenha o sistema operacional atualizado (unattended-upgrades no Debian/Ubuntu é seu amigo). Mantenha o Pi-hole atualizado pelo comando “pihole -up” mensal. Use senha forte no painel administrativo e nunca exponha a porta 80 do Pi-hole para a internet pública — se quiser administrar fora de casa, faça via VPN ou via reverse proxy autenticado. Habilite o DNSSEC no upstream para ganhar verificação criptográfica de respostas, evitando spoofing. E faça backup periódico do conjunto de configurações via “Teleporter” (botão exporta um arquivo tar.gz com tudo).

## FAQ — Pi-hole 2026

Pi-hole funciona em redes com Operadora (Vivo, Claro, NET) que travam DNS?
Sim, na maioria dos casos. O Pi-hole opera dentro da sua LAN e responde às consultas que saem dos seus dispositivos. A operadora só atua se você apontar o DNS do roteador para os servidores dela; assim que você muda o DNS do roteador para o IP do Pi-hole, todas as consultas internas passam por ele. Algumas operadoras hijack consultas TCP 53 fora da LAN, mas isso não afeta o Pi-hole quando o tráfego dele permanece local.

Posso usar Pi-hole em uma Raspberry Pi Zero 2 W?
Sim, é uma combinação muito popular em 2026. A Pi Zero 2 W tem CPU quad-core ARM Cortex-A53, 512 MB de RAM e consumo abaixo de dois watts. Hospedando Pi-hole sem Unbound, a CPU fica em torno de cinco por cento e a RAM em oitenta megabytes para uma casa de cinco pessoas. Adicione um cooler passivo de cerca de dez reais e a temperatura fica abaixo dos quarenta e cinco graus mesmo no calor brasileiro.

O Pi-hole compromete a velocidade da minha internet?
Não. Pelo contrário, em geral a navegação fica mais rápida porque o navegador deixa de baixar anúncios pesados e trackers. A consulta DNS adicional gasta no máximo cinco milissegundos em rede local. Se você combinar Pi-hole com Unbound recursivo, a primeira consulta a um domínio raramente visitado pode demorar trinta ou quarenta milissegundos a mais que um resolvedor anycast de Cloudflare, mas as consultas seguintes são instantâneas pois o cache local serve a maioria.

Pi-hole bloqueia anúncios do YouTube?
Parcialmente. O YouTube serve anúncios pelo mesmo domínio do vídeo (googlevideo.com), o que impede bloqueio DNS sem prejudicar o serviço. Existem listas específicas e métodos com SponsorBlock dentro do navegador que cobrem o caso, mas Pi-hole sozinho não elimina anúncios pre-roll do YouTube. Para anúncios da home page do YouTube e de sites embutidos, ele funciona normalmente.

Preciso saber Linux para usar Pi-hole?
Não em nível avançado. O instalador pergunta tudo em assistente; depois disso, noventa por cento da operação é feita pelo painel web em português. Saber abrir um terminal SSH, copiar um comando e digitar a senha resolve a instalação inicial. Para depuração avançada (alterar regex, customizar dnsmasq), uma noite de leitura na documentação resolve.

## Veredicto

Em 2026, o Pi-hole continua sendo o jeito mais didático, controlável e gratuito de bloquear anúncios e rastreadores em toda a rede de casa. Vale especialmente para quem tem várias TVs inteligentes, dispositivos IoT (lâmpadas, robô aspirador, câmeras), consoles e celulares de várias gerações onde instalar bloqueador em cada um seria caos. Combine-o com uBlock Origin no navegador, ative DNSSEC, mantenha as listas atualizadas e considere subir [Tailscale](https://www.baixar.xyz/tailscale-vpn-rede-privada-gratuita/) para ter o mesmo bloqueio quando estiver fora de casa. Para quem prefere uma instalação ainda mais simples e interface mais moderna, o [AdGuard Home](https://www.baixar.xyz/adguard-home/) entrega resultado similar com curva de aprendizado menor; a escolha entre os dois é mais de estética e ecossistema do que de eficácia técnica.
