XDA passou a semana documentando como dar a Claude controle total de um servidor DNS ensinou ao autor mais do que anos de documentação. O artigo é mais engraçado do que o título sugere, mas o ponto fundamental é real. Um servidor DNS auto-hospedado é uma das melhorias de maior alavancagem que uma rede doméstica pode obter, e os aplicativos que o tornam possível evoluíram bem além do ponto de “Pi-hole ou nada”. A escolha não é qual ferramenta bloqueia anúncios; é qual ferramenta fornece o mix certo de filtragem, cache, criptografia e visibilidade para o tipo de rede que você realmente executa.
Testamos 8 dos melhores aplicativos para DNS auto-hospedado em um Raspberry Pi, um mini PC Intel executando Linux e um servidor Windows em um pequeno escritório. A mistura de benchmark era entediante: tempo de configuração, gerenciamento de listas negras, DNS-over-TLS ou DNS-over-HTTPS upstream, registro de consultas e o que cada ferramenta faz quando algo quebra às 2 da manhã.
O que procurar em um servidor DNS auto-hospedado
Seis critérios separam as ferramentas de uso diário dos experimentos:
- Gerenciamento de listas negras. O ponto inteiro. Ferramentas que atualizam automaticamente listas e permitem manter listas brancas por cliente vencerão.
- Recursivo vs encaminhamento. Um resolvedor recursivo (Unbound, BIND) fala diretamente com servidores raiz. Um encaminhador entrega a um resolvedor público. O primeiro é mais privado, o segundo é mais rápido em consultas frias.
- Criptografia upstream. DNS-over-TLS e DNS-over-HTTPS mantêm suas consultas opacas para o ISP. Nem toda ferramenta faz isso.
- Política por cliente. Regras diferentes para o tablet das crianças e o escritório em casa importam mais do que as pessoas esperam.
- Registro e painéis. Um painel que mostra o que é bloqueado é o que convence o resto da casa.
- Failover. Um DNS doméstico que se quebra leva a internet com ele. O comportamento de failover e a facilidade de executar uma instância secundária importam.
Comparação rápida
| Aplicativo | Melhor para | Tipo | Opção gratuita | Recurso destaque |
|---|---|---|---|---|
| Pi-hole | DNS doméstico padrão com painel polido | Resolvedor de encaminhamento | Sim (open source) | Comunidade maior e mais listas negras de terceiros |
| AdGuard Home | Alternativa polida ao Pi-hole | Resolvedor de encaminhamento | Sim (open source) | Política por cliente na interface padrão |
| Technitium DNS | Autoritativo e recursivo em um aplicativo | Recursivo + autoritativo | Sim (open source) | Hospeda suas próprias zonas internas com clareza |
| Blocky | Filtro DNS binário único leve | Resolvedor de encaminhamento | Sim (open source) | Fácil de implantar em contêineres e editar por YAML |
| Unbound | Resolvedor recursivo puro | Resolvedor recursivo | Sim (open source) | Resolvedor recursivo melhor da categoria que respeita privacidade |
| dnsmasq | DNS leve, DHCP e TFTP para uma LAN pequena | Encaminhador de cache | Sim (open source) | Resolvedor clássico “bom o suficiente” de classe roteador |
| BIND9 | DNS autoritativo de nível de produção | Autoritativo + recursivo | Sim (open source) | Implementação de referência para cargas de trabalho sérias |
| dnscrypt-proxy | Camada de criptografia na frente de qualquer resolvedor | Proxy de criptografia DNS | Sim (open source) | Adiciona DoH e DoT a qualquer coisa que não os suporte |
Os 8 melhores aplicativos para DNS auto-hospedado no desktop
1. Pi-hole — melhor padrão para DNS doméstico
Pi-hole é o aplicativo no qual a maioria das redes domésticas acaba. O script de instalação executa em um Raspberry Pi, VM Linux ou em um contêiner, e em dez minutos a rede tem um painel mostrando cada rastreador bloqueado. O ecossistema de lista negra é o maior da categoria, com listas curadas pela comunidade para quase todas as classes de dispositivos. O gerenciamento de grupo permite criar uma política para o tablet das crianças que difira do escritório.
Onde fica aquém: A política por cliente é funcional, mas não tão fluida quanto a do AdGuard Home. O design da UI da web é datado em comparação com a concorrência polida. A criptografia DNS upstream precisa de um sidecar como dnscrypt-proxy ou Cloudflared.
Preços:
- Gratuito: open source
- Pago: nenhum
Plataformas: Linux (preferido), Raspberry Pi, executa em Docker no Windows e macOS
Download: pi-hole.net
Resumo: Escolha Pi-hole para DNS auto-hospedado se quiser o padrão com a maior comunidade e a configuração mais documentada.
2. AdGuard Home — melhor alternativa polida ao Pi-hole
AdGuard Home faz o mesmo que Pi-hole com uma UI mais suave e política por cliente na instalação padrão. DNS-over-TLS, DNS-over-HTTPS e DNSCrypt upstream são integrados. O painel é mais fácil de ler de relance, e a UI de gerenciamento de lista negra é mais amigável para novos usuários.
Onde fica aquém: A comunidade é menor que a do Pi-hole, o que às vezes significa que um tutorial que você encontra é para Pi-hole e você o traduz. O mercado de lista negra é bom, mas menor.
Preços:
- Gratuito: open source
- Pago: nenhum (os serviços AdGuard VPN e DNS separados são vendidos pela mesma empresa)
Plataformas: Linux, Windows, macOS, executa em Docker em qualquer lugar
Download: adguard.com/en/adguard-home
Resumo: Escolha AdGuard Home para DNS auto-hospedado se quiser uma UI polida e criptografia integrada sem boltar uma segunda ferramenta.
3. Technitium DNS — melhor para autoritativo mais recursivo em um aplicativo
Technitium DNS é a opção para usuários que desejam uma rede doméstica que hospede suas próprias zonas internas e resolva consultas de saída no mesmo aplicativo. Nomes de host locais, certificados SSL internos e DNS split-horizon funcionam sem três partes de software. A UI da web é limpa. O aplicativo executa no Windows ou Linux e é entregue como um único aplicativo .NET.
Onde fica aquém: Comunidade menor que o Pi-hole. Alguns filtros avançados exigem regras customizadas em vez de um mercado curado.
Preços:
- Gratuito: open source
- Pago: nenhum
Plataformas: Windows, Linux, macOS (via runtime .NET), Docker
Download: technitium.com/dns
Resumo: Escolha Technitium DNS para DNS auto-hospedado se você também precisar de DNS autoritativo para uma zona interna e não quiser uma segunda ferramenta.
4. Blocky — melhor DNS leve amigável a contêineres
Blocky é um único binário Go executado como um servidor DNS de filtragem, configurado por um pequeno arquivo YAML. É a ferramenta mais simples nesta lista para implantar em uma pilha de contêineres ao lado de outros serviços. Fontes de lista negra, redirecionamentos customizados e política por cliente vivem tudo em um arquivo que você pode colocar em controle de versão. A exportação de métricas é nativa do Prometheus, que se ajusta a labs domésticos que já executam Grafana.
Onde fica aquém: Sem UI da web própria. Você obtém um painel Prometheus, não uma visão de consultas estilo Pi-hole.
Preços:
- Gratuito: open source
- Pago: nenhum
Plataformas: Linux, Windows, macOS, Docker
Download: github.com/0xERR0R/blocky
Resumo: Escolha Blocky para DNS auto-hospedado se você vive em contêineres, faz controle de versão de sua config e quer uma pegada pequena.
5. Unbound — melhor resolvedor recursivo
Unbound é um resolvedor recursivo puro. Fala diretamente com servidores raiz, valida DNSSEC por padrão e não encaminha nada para um resolvedor público upstream. Usuários do Pi-hole frequentemente instalam Unbound atrás do Pi-hole exatamente por isso: filtragem no Pi-hole, recursão no Unbound. A combinação elimina completamente a dependência de Cloudflare, Google ou Quad9.
Onde fica aquém: Sem suporte de lista negra próprio. Faz um trabalho e o faz bem; a filtragem é responsabilidade de tudo o que fica à sua frente.
Preços:
- Gratuito: open source
- Pago: nenhum
Plataformas: Linux, Windows, macOS
Download: nlnetlabs.nl/projects/unbound
Resumo: Escolha Unbound para DNS auto-hospedado se quiser recursão completa sem confiar em um resolvedor público, e estiver feliz em emparelhá-lo com um front-end de filtragem.
6. dnsmasq — melhor resolvedor leve para uma LAN pequena
dnsmasq é o resolvedor que é enviado no firmware da maioria dos roteadores domésticos, e funciona tão bem quanto um servidor DNS pequeno mais DHCP em um Raspberry Pi. A sintaxe de configuração é concisa mas estável, o uso de recursos é minúsculo, e foi a espinha dorsal entediante de redes domésticas por duas décadas. Para uma LAN pequena que precisa de DNS e DHCP da mesma caixa sem painel, esta é a resposta certa.
Onde fica aquém: Sem mercado de lista negra. Sem UI. Registro via syslog.
Preços:
- Gratuito: open source
- Pago: nenhum
Plataformas: Linux, BSD
Download: thekelleys.org.uk/dnsmasq
Resumo: Escolha dnsmasq para DNS auto-hospedado se quiser o resolvedor mais leve possível mais DHCP, sem UI, sem surpresas.
7. BIND9 — melhor DNS de nível de produção
BIND9 é o servidor DNS de referência e a opção escolhida quando o tempo de atividade não é negociável. A sintaxe de configuração é assustadora, o histórico do projeto é longo, e a documentação assume que você leva DNS a sério. Para um lab doméstico que funciona como ambiente de aprendizado para habilidades de produção, BIND é o martelo certo.
Onde fica aquém: Curva de aprendizado acentuada. Sem UI de lista negra. Excessivo para a maioria das redes domésticas.
Preços:
- Gratuito: open source
- Pago: contratos de suporte opcionais da ISC
Plataformas: Linux, BSD, Windows
Download: isc.org/bind
Resumo: Escolha BIND9 para DNS auto-hospedado se quiser ferramentas de nível de produção em casa e estiver usando o lab doméstico para aprender habilidades que usará no trabalho.
8. dnscrypt-proxy — melhor camada de criptografia para qualquer resolvedor
dnscrypt-proxy não é um filtro ou resolvedor recursivo. Fica à frente de tudo o que você executa e adiciona suporte DNS-over-HTTPS, DNS-over-TLS e DNSCrypt. Para Pi-hole, dnsmasq ou qualquer outra ferramenta que não fale DNS criptografado upstream nativamente, esta é a maneira mais fácil de adicioná-lo.
Onde fica aquém: Adiciona outra peça móvel à pilha. Configuração via TOML.
Preços:
- Gratuito: open source
- Pago: nenhum
Plataformas: Linux, Windows, macOS, BSD
Download: github.com/DNSCrypt/dnscrypt-proxy
Resumo: Escolha dnscrypt-proxy para DNS auto-hospedado se tiver uma ferramenta de filtragem que gosta e queira adicionar DoH ou DoT upstream sem alterá-la.
Como escolher o certo
Se quiser o padrão e a comunidade maior, execute Pi-hole.
Se quiser política por cliente na interface padrão e criptografia integrada upstream, execute AdGuard Home.
Se também precisar de DNS autoritativo para uma zona interna, execute Technitium DNS.
Se você vive em contêineres e faz controle de versão de sua config, execute Blocky.
Se quiser resolução recursiva verdadeira em vez de encaminhamento, execute Unbound atrás de qualquer ferramenta de filtragem que escolher.
Se quiser o resolvedor mais leve possível mais DHCP em uma LAN pequena, execute dnsmasq.
Se quiser DNS de nível de produção como um projeto de lab doméstico, execute BIND9.
Se quiser adicionar DNS criptografado upstream a qualquer um acima, adicione dnscrypt-proxy.
A configuração doméstica mais forte que testamos foi Pi-hole ou AdGuard Home para painel e filtragem, Unbound atrás para recursão, e dnscrypt-proxy na frente de qualquer link que precisasse de criptografia.
FAQ
Pi-hole ainda é o melhor DNS auto-hospedado?
É o mais popular e mais documentado. AdGuard Home se iguala ou supera em política por cliente e criptografia integrada. Ambos são bons padrões.
Um DNS auto-hospedado quebrará meu internet se ele falhar?
Apenas se você não tiver fallback. A maioria dos roteadores permite definir um servidor DNS secundário. Aponte para um resolvedor público (1.1.1.1 ou 9.9.9.9) e os clientes voltam quando seu DNS doméstico cai.
Qual é a diferença entre Pi-hole e Unbound?
Pi-hole filtra e encaminha consultas para um resolvedor upstream. Unbound resolve consultas falando diretamente com servidores raiz. Executar ambos significa filtragem no Pi-hole, recursão no Unbound, sem dependência de um resolvedor público.
Posso executar DNS auto-hospedado em um Raspberry Pi?
Sim. Pi-hole, AdGuard Home, Blocky e dnsmasq todos rodam confortavelmente em um Raspberry Pi 4 ou mais novo. Um Pi 5 tem espaço para vários serviços na mesma caixa.
Preciso aprender DNS para executar um servidor auto-hospedado?
Para Pi-hole e AdGuard Home, não. Os scripts de instalação lidam com as partes entediantes. Para BIND9 e recursos mais avançados do Technitium, espere passar um fim de semana lendo.