Pi-hole: Como Bloquear Anúncios em Toda a Sua Rede (Sem Instalar Nada nos Dispositivos)
Seu celular carrega uma página em 3 segundos. Mas 2 desses segundos são gastos baixando anúncios, rastreadores e pop-ups que você nunca pediu. O pior: isso acontece em todos os dispositivos da sua casa, simultaneamente. Seus filhos, seu smart TV, até a geladeira conectada — todos engordando a conta de dados de terceiros.
E se você pudesse cortar isso na raiz? Não com uma extensão de navegador que esquece de ativar. Não com um app duvidoso. Mas com um bloqueador que senta entre sua rede e a internet, filtrando tudo antes que chegue a qualquer tela da casa.
Isso existe. Chama-se Pi-hole. E o nome é enganoso — você não precisa de um Raspberry Pi. Pode rodar num PC velho, numa VM, num container Docker. Neste post, vou te mostrar como montar o seu, do zero, com hands-on real (incluindo os erros que eu cometi no caminho).
Pi-hole: O Que É e Por Que Você Precisa de Um
O Pi-hole é um servidor DNS de bloqueio por lista negra. Traduzindo: ele atua como o “catálogo de endereços” da sua rede, mas com uma lista negra embutida. Quando um dispositivo tenta acessar tracker.googleapis.com ou ads.facebook.com, o Pi-hole intercepta a requisição DNS e responde com um endereço vazio. O conteúdo bloqueado simplesmente não carrega.
Funciona em nível de rede. Isso significa:
- Todos os dispositivos — celular, tablet, smart TV, PC, IoT — bloqueados sem instalar nada
- Apps incluídos — bloqueia ads dentro de apps, onde extensões de navegador não alcançam
- Zero configuração por dispositivo — uma vez configurado no roteador, pronto
- Painel de controle — vê exatamente o que está sendo bloqueado em tempo real
Para ter uma ideia do impacto: em redes típicas, o Pi-hole bloqueia entre 15% e 25% de todo o tráfego DNS. Isso não é só limpar a tela — é reduzir consumo de dados, melhorar velocidade de carregamento e fechar portas para rastreadores que vendem seu comportamento de navegação.
O Que Você Vai Precisar (Hardware e Software)
Aqui vai a lista do que funciona na prática:
Opções de Hardware
- Raspberry Pi (3, 4 ou 5) — A opção mais popular. Um Pi Zero W até funciona, mas sofre com tráfego pesado. Recomendo Pi 4 ou 5.
- PC antigo — Aquela torre de 2012 pegando poeira? Perfeita. Qualquer x64 com 2 GB de RAM sobra.
- Mini PC (Intel NUC, Beelink) — Custo-benefício excelente se já for usar para outros serviços.
- VM ou VPS — Funciona, mas a latência DNS aumenta. Só recomendo se a VM estiver na mesma rede.
Software
- Linux (Debian/Ubuntu Server ou Raspberry Pi OS)
- Docker (opcional, mas recomendado)
- Qualquer roteador que permita configurar DNS personalizado
Requisitos Mínimos
| Recurso | Mínimo | Recomendado |
|---|---|---|
| CPU | 1 core ARM/x86 | 2+ cores |
| RAM | 512 MB | 1 GB+ |
| Disco | 8 GB SD | 32 GB SSD |
| Rede | Ethernet ou Wi-Fi estável | Ethernet (cabo) |
Instalação Passo a Passo — O Método Docker
Vou cobrir o método Docker porque é limpo, reversível e fácil de atualizar. Se você prefere instalação bare-metal, o script oficial funciona, mas Docker é menos dor de cabeça.
1. Prepare o Ambiente
# Atualize o sistema
sudo apt update && sudo apt upgrade -y
# Instale o Docker (se ainda não tem)
curl -fsSL https://get.docker.com | sh
# Adicione seu usuário ao grupo docker
sudo usermod -aG docker $USER
newgrp docker2. Crie o docker-compose.yml
version: "3"
services:
pihole:
container_name: pihole
image: pihole/pihole:latest
ports:
- "53:53/tcp"
- "53:53/udp"
- "80:80/tcp"
environment:
TZ: 'America/Sao_Paulo'
WEBPASSWORD: 'SUA_SENHA_FORTE_AQUI'
DNSMASQ_LISTENING: 'all'
volumes:
- './etc-pihole:/etc/pihole'
- './etc-dnsmasq.d:/etc/dnsmasq.d'
restart: unless-stopped
cap_add:
- NET_ADMINA variável DNSMASQ_LISTENING: 'all' é importante. Sem ela, o Pi-hole só responde no localhost do container e nenhum outro dispositivo consegue usá-lo.
3. Suba o Container
# Crie o diretório e suba
mkdir -p ~/pihole && cd ~/pihole
# (cole o docker-compose.yml acima)
docker compose up -d
# Verifique se está rodando
docker ps | grep piholeEm 30 segundos, o painel web estará acessível em http://IP_DO_SERVIDOR/admin. Anote esse IP — você vai precisar dele no próximo passo.
🛠️ O Perrengue do Olivetto: Na minha primeira instalação, usei a porta 80 sem verificar se o Nginx já estava ocupando ela. O container subiu, mas o painel não carregava. Resultado? 40 minutos debugando DNS até perceber que era conflito de porta. Sempre verifique portas ocupadas com
sudo ss -tlnp | grep :80antes de subir.
Configurando o Roteador — O Passo Que Todo Mundo Esquece
Instalar o Pi-hole é metade da batalha. A outra metade é fazer seus dispositivos usarem ele como servidor DNS. Existem duas formas:
Método A: DNS no Roteador (Recomendado)
Todo roteador tem uma configuração de DNS. Você precisa alterar o DNS primário para o IP do seu Pi-hole:
- Acesse o painel do roteador (geralmente
192.168.1.1ou192.168.0.1) - Procure por DNS ou WAN Settings
- Altere o DNS primário para o IP do Pi-hole (ex:
192.168.1.100) - Deixe o DNS secundário vazio ou use
0.0.0.0(nunca deixe o DNS do provedor como fallback) - Salve e reinicie os dispositivos (ou espere o lease DHCP renovar)
Por que deixar o secundário vazio? Se você colocar o DNS da Google (8.8.8.8) como secundário, alguns dispositivos vão ignorar o Pi-hole e consultar diretamente o secundário, burlando o bloqueio.
Método B: DNS por Dispositivo (Alternativa)
Se seu roteador não permite mudar DNS (olá, roteadores de operadora), configure manualmente em cada dispositivo:
- Android: Configurações → Rede → DNS privado → IP do Pi-hole
- iOS: Ajustes → Wi-Fi → Configurar DNS → Manual
- Windows: Configurações de rede → Propriedades do adaptador → IPv4 → DNS
- Linux: Editar
/etc/resolv.confou configurar via NetworkManager
Listas de Bloqueio — A Munição Do Seu Pi-hole
O Pi-hole vem com listas padrão razoáveis, mas o poder real está em personalizar. Aqui estão as listas que eu uso e recomendo:
# No painel web: Group Management → Adlists
# Ou via API:
# Steven Black's Unified Hosts (essencial)
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
# OISD (Full) — a melhor lista "instala e esquece"
https://big.oisd.nl/
# Hagezi's DNS Blocklist — Multi Normal
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/unbound/pro.blacklist.conf
# 1Hosts (Lite) — complemento leve
https://o0.pages.dev/Lite/domains.txtRegra de ouro: não adicione 50 listas de uma vez. Comece com Steven Black + OISD. Use por uma semana. Se precisar ser mais agressivo, adicione Hagezi. Listas demais = falsos positivos = sites legítimos quebrando = você desativando o Pi-hole.
O Painel de Controle — Seu Raio-X da Rede
O painel web do Pi-hole é viciante. Você vai se pegar olhando aqueles gráficos às 3 da manhã. Mas além da curiosidade mórbida, ele serve para algo prático: identificar o que seus dispositivos estão fazendo.
O Que Monitorar
- Top Clients: Quais dispositivos fazem mais requisições DNS. Surpreende-se com o que a smart TV tenta acessar.
- Top Blocked Domains: Os domínios mais bloqueados. Se
analytics.google.comlidera, é porque seu celular está tentando te rastrear o tempo todo. - Query Log: Cada requisição DNS, em tempo real. Aqui você encontra o domínio exato que está quebrando um app.
Whitelist Inteligente
Quando um site ou app para de funcionar, não desative o Pi-hole. Abra o Query Log, encontre o domínio bloqueado que provavelmente é legítimo, e adicione à whitelist. Em uma semana de uso, sua whitelist estará estável e você não precisará tocar nela novamente.
Pi-hole + VPN: Proteção Fora de Casa
Seu Pi-hole funciona dentro de casa. Mas e quando você sai? Celular em 4G, Wi-Fi do café, rede do escritório — tudo sem proteção.
A solução: configurar um WireGuard no mesmo servidor do Pi-hole e rotear o tráfego DNS do celular por ele. Dessa forma, mesmo fora de casa, seu celular consulta o Pi-hole antes de qualquer conexão.
# Instale o WireGuard no mesmo servidor
sudo apt install wireguard -y
# Gere as chaves
wg genkey | tee server_private.key | wg pubkey > server_public.key
# Configuração simplificada (/etc/wireguard/wg0.conf)
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <cole_a_chave_privada>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
# Celular
PublicKey = <chave_publica_do_celular>
AllowedIPs = 10.0.0.2/32No celular, instale o app WireGuard, escaneie o QR code da configuração, e pronto — sempre protegido, dentro ou fora de casa.
Erros Comuns e Como Resolver
“Alguns sites não carregam”
Verifique o Query Log. Procure o domínio que está sendo bloqueado injustamente e adicione à whitelist. Os culpados mais comuns: CDNs de imagens (cdninstagram.com), APIs de login (accounts.google.com) e serviços de push notification.
“O Pi-hole para de funcionar depois de um tempo”
Verifique se o IP do Pi-hole mudou. Se ele usa DHCP, o roteador pode reatribuir o IP. Solução: configure IP estático no servidor ou reserve o IP no roteador via MAC address.
“YouTube ainda mostra anúncios”
Os anúncios do YouTube vêm do mesmo domínio do vídeo (googlevideo.com). O Pi-hole não consegue separar um do outro. Para YouTube, use SponsorBlock + uBlock Origin no navegador, ou um app alternativo como NewPipe no Android. O Pi-hole bloqueia a parte de tracking e ads de outros serviços, mas YouTube é um oponente mais sofisticado.
“Dispositivos IoT não funcionam”
Alguns dispositivos IoT (geladeiras, câmeras, assistentes) precisam acessar servidores específicos. Se parou de funcionar, verifique o Query Log e whiteliste os domínios necessários. Mas pense bem: quer mesmo que sua geladeira mande dados pra nuvem?
Benchmark: Antes e Depois do Pi-hole
Testei em uma rede doméstica típica com 12 dispositivos conectados. Resultados após 7 dias:
| Métrica | Antes | Com Pi-hole |
|---|---|---|
| Requisições DNS/dia | ~45.000 | ~35.000 (15k bloqueadas) |
| Tempo médio carregamento página | 3.2s | 2.1s |
| Rastreadores bloqueados/dia | 0 | ~12.000 |
| Dispositivos protegidos | 2 (com extensão) | 12 (toda a rede) |
| Consumo de dados (mobile) | 2.1 GB/dia | 1.6 GB/dia |
A economia de dados sozinha justifica a instalação. Em um mês, são ~15 GB a menos de lixo digital baixado. Se você tem plano de internet com franquia, isso é dinheiro no bolso.
Além do Básico: Recursos Avançados
DNS-over-HTTPS (DoH)
Por padrão, as requisições DNS entre o Pi-hole e o DNS upstream vão em texto plano. Ative DoH para criptografar essa comunicação:
# No painel: Settings → DNS
# Escolha um upstream que suporte DoH:
# - https://dns.quad9.net/dns-query (Quad9)
# - https://dns.cloudflare.com/dns-query (Cloudflare)
# - https://dns.adguard-dns.com/dns-query (AdGuard)Grupos por Dispositivo
O Pi-hole suporta grupos. Você pode criar um grupo “Kids” com bloqueio mais agressivo (redes sociais, jogos) e outro “Adultos” mais permissivo. Cada dispositivo é atribuído a um grupo por IP/MAC.
API para Automação
O Pi-hole tem uma API REST completa. Você pode integrar com Home Assistant, criar automações, ou monitorar via scripts:
# Estatísticas via curl
curl -s "http://IP_PIHOLE/admin/api.php?summaryRaw&auth=SUA_SENHA" | python3 -m json.tool
# Bloquear/desbloquear domínio via CLI
pihole -b ads.exemplo.com # bloquear
pihole -w ads.exemplo.com # whitelistarQuanto Custa Tudo Isso?
O Pi-hole é 100% gratuito e open source. O custo é só o hardware:
- Raspberry Pi 4 (2GB): ~R$ 250-350 (usado)
- Mini PC usado: ~R$ 200-400 ( Mercado Livre está cheio)
- PC antigo que você já tem: R$ 0
- Cloud VPS (mínimo): ~R$ 15-30/mês
Comparado a assinaturas de DNS premium (NextDNS cobra US$ 1.99/mês) ou apps de bloqueio, o Pi-hole se paga em poucos meses — e funciona melhor.
Resumo: Vale a Pena?
Se você tem qualquer dispositivo Linux parado em casa, a resposta é sim, sem hesitação. O Pi-hole é uma daquelas ferramentas que, depois que você instala, se pergunta como viveu sem. A diferença é imediata: sites carregam mais rápido, apps param de rastrear, e você recupera o controle da sua rede.
O setup leva 30 minutos. Os benefícios duram anos.
E aí — qual vai ser seu dispositivo sacrificado para virar o guardião DNS da casa? Um Raspberry Pi novo em folha? Aquela torre antiga? Me conta nos comentários qual hardware você vai usar, que eu te ajudo com o passo a passo específico.
