XDA, Claude’a bir DNS sunucusunun tam kontrolünü vermesinin yazara yılların dokümantasyonundan daha fazlasını nasıl öğrettiğini belgelemek için bir hafta harcadı. Makale başlığın önerdiğinden daha eğlenceli, ancak temel nokta gerçek. Kendi barındırılan bir DNS sunucusu, ev ağının alabileceği en yüksek kaldıraç yükseltmelerinden biridir ve bunu mümkün kılan uygulamalar “Pi-hole veya hiçbir şey” noktasının çok ötesine gelişmiştir. Seçim hangi aracın reklamları engellediği değildir; gerçekte çalıştırdığınız ağın türü için filtreleme, önbellekleme, şifreleme ve görünürlüğün doğru karışımını sunan hangisidir.
Raspberry Pi, Linux çalıştıran bir Intel mini PC ve küçük bir ofiste bir Windows sunucusu üzerinde kendi barındırılan DNS için 8 en iyi uygulamayı test ettik. Kıyaslama karması sıkıcıydı: kurulum süresi, kara liste yönetimi, DNS-over-TLS veya DNS-over-HTTPS upstream, sorgu günlüğü ve sabah 2’de bir şey kırıldığında her aracın ne yapması.
Kendi barındırılan DNS sunucusunda neler aranacak
Altı kriter günlük araçları deneylerden ayırır:
- Kara liste yönetimi. Tüm nokta. Listeleri otomatik olarak güncelleyen ve istemci başına beyaz listeler tutmanıza izin veren araçlar kazanır.
- Yinelemeli vs iletme. Yinelemeli bir çözümleyici (Unbound, BIND) doğrudan kök sunucularla konuşur. Bir forwarder, genel bir çözümleyiciye teslim eder. İlki daha özel, ikincisi soğuk sorgularda daha hızlıdır.
- Upstream şifreleme. DNS-over-TLS ve DNS-over-HTTPS, sorgularınızı ISP’ye opak tutar. Her araç bunu yapmaz.
- İstemci başına ilke. Çocuk tabletine ve ev ofisine farklı kurallar, insanların beklediğinden daha önemlidir.
- Günlüğe kaydetme ve panolar. Neyin engellenmekte olduğunu gösteren bir pano, hanenin geri kalanını ikna etmektir.
- Failover. Kırılan bir ev DNS’si, İnterneti yanında alır. Failover davranışı ve ikincil bir örneği çalıştırmanın kolaylığı önemlidir.
Hızlı karşılaştırma
| Uygulama | En iyi | Tür | Ücretsiz seçenek | Öne çıkan özellik |
|---|---|---|---|---|
| Pi-hole | Cilalı pano ile varsayılan ev DNS | Forwardlama çözümleyicisi | Evet (açık kaynak) | En büyük topluluk ve en çok üçüncü taraf kara listesi |
| AdGuard Home | Pi-hole’ye cilalı alternatif | Forwardlama çözümleyicisi | Evet (açık kaynak) | Varsayılan UI’da istemci başına ilke |
| Technitium DNS | Bir uygulamada yetkili ve yinelemeli | Yinelemeli + yetkili | Evet (açık kaynak) | Kendi dahili bölgelerinizi temiz bir şekilde barındırır |
| Blocky | Hafif, tek ikili DNS filtresi | Forwardlama çözümleyicisi | Evet (açık kaynak) | Konteyner içinde dağıtılması ve YAML tarafından düzenlenmesi kolay |
| Unbound | Saf yinelemeli çözümleyici | Yinelemeli çözümleyici | Evet (açık kaynak) | Gizliliğe saygılı sınıf içinde en iyi yinelemeli çözümleyici |
| dnsmasq | Küçük LAN için hafif DNS, DHCP ve TFTP | Önbellekleme forwarderi | Evet (açık kaynak) | Klasik “yeterince iyi” router sınıfı çözümleyici |
| BIND9 | Üretim sınıfı yetkili DNS | Yetkili + yinelemeli | Evet (açık kaynak) | Ciddi iş yükleri için referans uygulaması |
| dnscrypt-proxy | Herhangi bir çözümleyicinin önündeki şifreleme katmanı | DNS şifreleme proxy’si | Evet (açık kaynak) | DoH ve DoT’u desteklemeyenlere ekler |
Masaüstü için kendi barındırılan DNS için 8 en iyi uygulama
1. Pi-hole — ev DNS için en iyi varsayılan
Pi-hole çoğu ev ağının görevlendirildiği uygulamadır. Kurulum komut dosyası bir Raspberry Pi, Linux VM’de veya bir konteyner içinde çalışır ve on dakika içinde ağda her engellenen izleyiciyi gösteren bir pano bulunur. Kara liste ekosistemi, neredeyse her cihaz sınıfı için topluluk tarafından seçilmiş listelerle kategorideki en büyüğüdür. Grup yönetimi, çocukların tabletine ofisten farklı bir ilke oluşturmanıza izin verir.
Zayıf yönler: İstemci başına ilke işlevsel ancak AdGuard Home’un kadar akıcı değildir. Web UI tasarımı, cilalı rekabete kıyasla modası geçmiştir. Upstream DNS şifreleme, dnscrypt-proxy veya Cloudflared gibi bir sidecar gerektirir.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok
Platformlar: Linux (tercih), Raspberry Pi, Windows ve macOS’ta Docker’da çalışır
İndir: pi-hole.net
Alt çizgi: En büyük topluluk ve en belgelenen kuruluma sahip varsayılanı istiyorsanız, kendi barındırılan DNS için Pi-hole’yi seçin.
2. AdGuard Home — Pi-hole’ye en iyi cilalı alternatif
AdGuard Home Pi-hole’yle aynı işi yapar ancak daha pürüzlü bir UI ve varsayılan kurulumda istemci başına ilke ile. DNS-over-TLS, DNS-over-HTTPS ve DNSCrypt upstream yerleşiktir. Pano bir bakışta okunması daha kolaydır ve kara liste yönetimi UI yeni kullanıcılar için daha dostça değildir.
Zayıf yönler: Topluluk Pi-hole’den daha küçüktür, bu da bazen bulduğunuz bir öğreticinin Pi-hole için olduğu ve çevirdiğiniz anlamına gelir. Kara liste pazarı iyi ancak daha küçüktür.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok (ayrı AdGuard VPN ve DNS hizmetleri aynı şirket tarafından satılır)
Platformlar: Linux, Windows, macOS, Docker’da her yerde çalışır
İndir: adguard.com/en/adguard-home
Alt çizgi: Cilalı bir UI ve ikinci bir araç takmadan yerleşik şifreleme istiyorsanız, kendi barındırılan DNS için AdGuard Home’u seçin.
3. Technitium DNS — bir uygulamada yetkili artı yinelemeli için en iyi
Technitium DNS kendi dahili bölgelerini barındıran ve aynı uygulamada giden sorguları çözen bir ev ağı isteyen kullanıcılar için seçenektir. Yerel ana bilgisayar adları, dahili SSL sertifikaları ve split-horizon DNS, her şey üç yazılım parçası olmadan çalışır. Web UI temizdir. Uygulama Windows veya Linux’ta çalışır ve tek bir .NET uygulaması olarak gönderilir.
Zayıf yönler: Pi-hole’den daha küçük topluluk. Bazı gelişmiş filtreleme, seçilmiş bir pazardan ziyade özel kurallar gerektirir.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok
Platformlar: Windows, Linux, macOS (.NET runtime aracılığıyla), Docker
İndir: technitium.com/dns
Alt çizgi: Ayrıca dahili bir bölge için yetkili DNS’ye ihtiyacınız varsa ve ikinci bir araç istenmiyorsa, kendi barındırılan DNS için Technitium DNS’yi seçin.
4. Blocky — en iyi hafif konteyner-dostu DNS
Blocky bir filtreleme DNS sunucusu olarak çalışan, küçük bir YAML dosyası tarafından yapılandırılan tek bir Go ikilidir. Diğer hizmetlerin yanında bir konteyner yığınına dağıtmak için bu listede en basit araçtır. Kara liste kaynakları, özel yönlendirmeler ve istemci başına ilke, tümü sürüm kontrolüne koyabileceğiniz bir dosyada yaşar. Metrik dışa aktarma, Prometheus’a özgüdür ve Grafana zaten çalıştıran ev laboratuvarları için uygundur.
Zayıf yönler: Kendi web arayüzü yok. Bir Prometheus panosu alırsınız, Pi-hole tarzı sorgu görünümü değil.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok
Platformlar: Linux, Windows, macOS, Docker
İndir: github.com/0xERR0R/blocky
Alt çizgi: Konteyner içinde yaşıyorsanız, yapılandırmanızı sürüm kontrol ediyorsanız ve küçük bir ayak izi istiyorsanız, kendi barındırılan DNS için Blocky’yi seçin.
5. Unbound — en iyi yinelemeli çözümleyici
Unbound saf bir yinelemeli çözümleyicidir. Doğrudan kök sunucularla konuşur, varsayılan olarak DNSSEC’i doğrular ve upstream genel çözümleyiciye hiçbir şey iletmez. Pi-hole kullanıcıları sıklıkla tam olarak bu nedenle Pi-hole’nin arkasına Unbound kurarlar: Pi-hole’de filtreleme, Unbound’da yineleme. Kombinasyon Cloudflare, Google veya Quad9’a bağımlılığı tamamen ortadan kaldırır.
Zayıf yönler: Kendi kara liste desteği yok. Bir işi yapar ve iyi yapar; filtreleme, önünde oturan şeyin sorumluluğudur.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok
Platformlar: Linux, Windows, macOS
İndir: nlnetlabs.nl/projects/unbound
Alt çizgi: Genel bir çözümleyiciye güvenmeden tam yineleme istiyorsanız ve onu filtreleme ön ucuyla eşleştirmekten mutluysa, kendi barındırılan DNS için Unbound’u seçin.
6. dnsmasq — küçük LAN için en iyi hafif çözümleyici
dnsmasq çoğu ev yönlendiricisinin yazılımında gönderilen çözümleyicidir ve bir Raspberry Pi’de küçük LAN DNS artı DHCP sunucusu olarak eşit derecede iyi çalışır. Yapılandırma söz dizimi özlü ama stabildir, kaynak kullanımı kıçıkır ve iki on yıl boyunca ev ağlarının sıkıcı omurgası olmuştur. Pano olmadan aynı kutudan DNS ve DHCP’ye ihtiyaç duyması gereken küçük bir LAN için, bu doğru cevaptır.
Zayıf yönler: Kara liste pazarı yok. UI yok. Syslog aracılığıyla günlüğe kaydetme.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok
Platformlar: Linux, BSD
İndir: thekelleys.org.uk/dnsmasq
Alt çizgi: Mümkün olan en hafif çözümleyiciyi artı DHCP istiyorsanız, UI yok, sürpriz yok, kendi barındırılan DNS için dnsmasq’ı seçin.
7. BIND9 — en iyi üretim sınıfı DNS
BIND9 referans DNS sunucusudur ve çalışma süresi müzakere edilemez olduğunda seçilen seçenektir. Yapılandırma söz dizimi korkutucu, proje tarihi uzun ve dokümantasyon DNS’yi ciddi şekilde almayacağınızı varsayar. Üretim becerileri için öğrenme ortamı olarak hizmet veren bir ev laboratuvarı için, BIND doğru çekiçtir.
Zayıf yönler: Dik öğrenme eğrisi. Kara liste UI yok. Çoğu ev ağı için aşırı.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: ISC’den isteğe bağlı destek sözleşmeleri
Platformlar: Linux, BSD, Windows
İndir: isc.org/bind
Alt çizgi: Evde üretim sınıfı araçlar istiyorsanız ve ev laboratuvarını iş yerinde kullanacağınız beceriler öğrenmek için kullanıyorsanız, kendi barındırılan DNS için BIND9’u seçin.
8. dnscrypt-proxy — herhangi bir çözümleyici için en iyi şifreleme katmanı
dnscrypt-proxy ne filtre ne de yinelemeli çözümleyicidir. Çalıştırdığınız her şeyin önünde oturur ve DNS-over-HTTPS, DNS-over-TLS ve DNSCrypt desteği ekler. Pi-hole, dnsmasq veya upstream şifreli DNS’i yerel olarak konuşmayan diğer herhangi bir araç için, bunu eklemenin en kolay yoluyudur.
Zayıf yönler: Yığına başka bir hareket etme parçası ekler. TOML aracılığıyla yapılandırma.
Fiyatlandırma:
- Ücretsiz: açık kaynak
- Ücretli: yok
Platformlar: Linux, Windows, macOS, BSD
İndir: github.com/DNSCrypt/dnscrypt-proxy
Alt çizgi: Beğendiğiniz bir filtreleme aracınız varsa ve bunu değiştirmeden DoH veya DoT upstream eklemek istiyorsanız, kendi barındırılan DNS için dnscrypt-proxy’yi seçin.
Doğru olanı seçmek nasıl
Varsayılanı ve en büyük topluluğu istiyorsanız, Pi-hole’yi çalıştırın.
Varsayılan UI’da istemci başına ilke ve yerleşik upstream şifreleme istiyorsanız, AdGuard Home’u çalıştırın.
Dahili bir bölge için yetkili DNS’ye de ihtiyacınız varsa, Technitium DNS’yi çalıştırın.
Konteyner içinde yaşıyorsanız ve yapılandırmanızı sürüm kontrol ediyorsanız, Blocky’yi çalıştırın.
İletme yerine gerçek yinelemeli çözüm istiyorsanız, seçtiğiniz herhangi bir filtreleme aracının arkasında Unbound’u çalıştırın.
Küçük bir LAN’da mümkün olan en hafif çözümleyici artı DHCP istiyorsanız, dnsmasq’ı çalıştırın.
Ev laboratuvarı öğrenme projesi olarak üretim sınıfı DNS istiyorsanız, BIND9’u çalıştırın.
Yukarıdakilerin herhangi birine şifreli upstream DNS eklemek istiyorsanız, dnscrypt-proxy ekleyin.
Test ettiğimiz en güçlü ev kurulumu, pano ve filtreleme için Pi-hole veya AdGuard Home, yineleme için arkasında Unbound ve şifreleme gereken herhangi bir bağlantının önünde dnscrypt-proxy’ydi.
SSS
Pi-hole hala en iyi kendi barındırılan DNS’dir mi?
En popüler ve en belgelenen olanıdır. AdGuard Home, istemci başına ilke ve yerleşik şifreleme konusunda bunu eşleştirir veya aşar. Her ikisi de iyi varsayılandır.
Kendi barındırılan DNS çöküp Internet’im kırılır mı?
Sadece yedek yoksa. Çoğu yönlendirici ikincil bir DNS sunucusu ayarlamanıza izin verir. Bunu genel bir çözümleyiciye (1.1.1.1 veya 9.9.9.9) yönlendirin ve ev DNS’niz düştüğünde istemciler geri düşer.
Pi-hole ve Unbound arasındaki fark nedir?
Pi-hole sorguları filtreler ve upstream bir çözümleyiciye iletir. Unbound, doğrudan kök sunucularla konuşarak sorguları çözer. Her ikisini çalıştırmak, Pi-hole’de filtreleme, Unbound’da yineleme, genel çözümleyiciye bağımlılık anlamı gelmez.
Raspberry Pi’de kendi barındırılan DNS’yi çalıştırabilir miyim?
Evet. Pi-hole, AdGuard Home, Blocky ve dnsmasq’ın tümü Raspberry Pi 4 veya daha yenisi üzerinde rahat bir şekilde çalışır. Bir Pi 5 aynı kutuya çeşitli hizmetler için çalışma alanı vardır.
Kendi barındırılan sunucu çalıştırmak için DNS öğrenmem gerekir mi?
Pi-hole ve AdGuard Home için hayır. Kurulum komut dosyaları sıkıcı parçaları ele alır. BIND9 ve Technitium’un daha gelişmiş özellikleri için, bir hafta sonu okuma harcamayı beklemeyin.