Pi-hole: O Bloqueador de Anúncios que Protege a Casa Inteira — Guia de Instalação

Imagine ligar o computador e abrir o seu site de notícias favorito. Agora imagine fazê-lo sem uma única faixa publicitária a piscar, sem aquele pop-up de «subscreva a newsletter», sem o vídeo que arranca sozinho no canto do ecrã, sem os rastreadores que seguem cada clique seu para lhe venderem sapatos durante as próximas três semanas. Agora multiplique isso por todos os dispositivos da sua casa — telemóveis, tablets, portáteis, televisões inteligentes, colunas, câmaras, o frigorífico que alguém achou que precisava de Wi-Fi. É exactamente isto que o Pi-hole faz. E o melhor? É grátis. É open source. E corre até numa torradeira — ou quase.

O que é o Pi-hole — e porque é que toda a gente devia ter um

O Pi-hole não é um bloqueador de anúncios como o uBlock Origin ou o AdBlock. Esses são extensões de browser — funcionam bem, mas só dentro do browser. O que acontece quando abre a aplicação do YouTube no telemóvel? Ou quando a sua TV Samsung decide ligar-se a meia dúzia de servidores de analytics antes mesmo de mostrar o menu? Exacto: as extensões de browser não fazem lá nada.

O Pi-hole funciona um nível abaixo: ao nível do DNS, o sistema que traduz nomes de sites (como «google.com») em endereços IP (como «142.250.200.68»). Sempre que um dispositivo na sua rede pergunta «onde está o servidor de anúncios tal?», o Pi-hole responde: «não sei, não existe». E o anúncio nunca chega a carregar.

É uma diferença filosófica e prática. Em vez de tapar os anúncios depois de eles tentarem carregar, o Pi-hole impede que o pedido sequer saia da sua rede. A página carrega mais depressa. Gasta menos dados móveis. E a informação sobre o que você faz online não chega a sair de casa.

Como o Pi-hole se senta entre os seus dispositivos e a Internet. Cada pedido DNS passa por ele — e os que vão para servidores de anúncios ou malware são bloqueados antes de sair da rede. Diagrama: Pi-hole

Seis razões para instalar o Pi-hole hoje

1. Bloqueia anúncios em TODOS os dispositivos. Telemóvel, tablet, PC, smart TV, consola, colunas inteligentes, câmaras IP. Tudo o que usa DNS — e tudo usa DNS — fica protegido. Sem instalar apps, sem configurar nada em cada dispositivo. Uma única mudança no router e está feito.

2. Acelera a navegação. Um site de notícias típico carrega entre 10 e 40 domínios de anúncios e rastreadores antes de lhe mostrar o primeiro parágrafo. O Pi-hole bloqueia esses pedidos na raiz. As páginas carregam mais depressa porque o browser não fica à espera que 30 servidores de publicidade respondam.

3. Poupa largura de banda. Numa casa com três ou quatro pessoas, os anúncios e rastreadores podem representar 15 a 30% do tráfego total. Com o Pi-hole, esses dados nunca são transferidos. Importante para quem tem limites de tráfego no tarifário móvel ou simplesmente não quer alimentar a máquina publicitária com os seus megabytes.

4. Protege contra malware e phishing. O Pi-hole usa listas de bloqueio que incluem domínios conhecidos de distribuição de malware, phishing e fraude. Se alguém na sua rede clicar num link manhoso, o Pi-hole impede que o dispositivo chegue a contactar o servidor malicioso.

5. Dá-lhe visibilidade total. O painel de controlo do Pi-hole mostra exatamente que dispositivos estão a falar com quem. Sabe aquela câmara IP chinesa que insiste em ligar-se a 47 servidores diferentes às três da manhã? O Pi-hole mostra-lhe. E bloqueia.

6. É teu. O Pi-hole corre na sua máquina, na sua rede, com as suas regras. Não há uma empresa a decidir que anúncios são «aceitáveis» (como o AdBlock Plus faz). Não há telemetria a reportar os seus hábitos a terceiros. O único administrador é você.

O que precisa para começar

O Pi-hole é incrivelmente leve. Corre em qualquer coisa que tenha Linux e uma ligação de rede. Os requisitos oficiais são mínimos:

• Hardware: Raspberry Pi (qualquer modelo, incluindo o Zero a 10 €), um PC antigo, um mini-PC, uma máquina virtual, ou até um contentor Docker no Windows.
• Sistema operativo: Qualquer distribuição Linux suportada — Ubuntu, Debian, Linux Mint, Fedora, CentOS, Armbian, Raspberry Pi OS.
• RAM: 512 MB chegam e sobram. O Pi-hole usa tipicamente entre 50 e 100 MB de RAM.
• Espaço em disco: 2 GB são mais que suficientes para o sistema e a base de dados de bloqueios.
• Rede: Ligação por cabo ao router (recomendado) ou Wi-Fi estável. O dispositivo precisa de um IP fixo na rede.

O investimento total pode ser zero — se tiver um portátil velho encostado. Ou 50 €, se comprar um Raspberry Pi e um cartão SD. Compare isso com o preço de qualquer subscrição de «segurança» ou «VPN premium» que lhe querem vender.

Instalação no Linux — Ubuntu, Debian, Mint e derivados

O Pi-hole tem um instalador oficial que faz praticamente tudo sozinho. É um comando único. Mas vamos ver cada passo com calma, porque o diabo está nos detalhes.

Passo 1: Atribuir um IP fixo à máquina

O Pi-hole precisa de um endereço IP que nunca mude. Se o IP mudar, todos os dispositivos da casa deixam de conseguir resolver DNS — ou seja, a Internet «deixa de funcionar». Pode configurar isto de duas formas:

• No router (recomendado): Aceda ao seu router, encontre a lista de dispositivos ligados e reserve o IP atual da máquina do Pi-hole. Isto chama-se «reserva DHCP» ou «IP fixo».
• No sistema operativo: Edite o ficheiro de configuração de rede. No Ubuntu com netplan, fica em /etc/netplan/. Em distribuições mais antigas, pode ser /etc/network/interfaces.

A forma mais segura é fazer as duas coisas: reservar no router e configurar no sistema. Assim, se uma falhar, a outra segura.

Exemplo da configuração DHCP num router típico. O IP do Pi-hole (192.168.1.100) é definido como servidor DNS único, com um fallback (1.1.1.2) para redundância. A reserva DHCP garante que o Pi-hole mantém sempre o mesmo IP.

Passo 2: Executar o instalador oficial

Abra o terminal e execute este comando:

O instalador oficial do Pi-hole em ação. Verifica o sistema, detecta o sistema operativo e pergunta qual o fornecedor DNS a usar. O processo completo demora entre 5 e 10 minutos.

O instalador vai fazer várias perguntas. Se quer fazer um piping direto para a bash — sim, há um debate de segurança sobre isto. O código é aberto e auditável no GitHub. Se preferir, pode descarregar o script primeiro e inspecioná-lo:

Durante a instalação, o assistente pergunta:

• Interface de rede: Escolha a interface ligada à sua rede local (normalmente eth0 ou wlan0).
• Fornecedor de DNS upstream: Por agora, escolha um fornecedor como a Cloudflare (1.1.1.1) ou Quad9 (9.9.9.9). Mais tarde podemos configurar o Unbound e tornar o Pi-hole completamente independente.
• Listas de bloqueio: O Pi-hole sugere a lista padrão do StevenBlack. Aceite — pode adicionar mais depois.
• IPv4 e IPv6: Mantenha ambos ativos se a sua rede usar os dois protocolos.
• IP estático: Confirme o IP que definiu no Passo 1.
• Interface web: Instale o painel de administração web (recomendado).
• Modo de privacidade: Escolha o nível 0 (mostrar tudo) para a sua rede doméstica.

No final, o instalador mostra uma password aleatória para o painel de administração. Guarde-a. Pode mudá-la depois com o comando:

Definir a password do painel de administração é o primeiro passo após a instalação. O comando 'pihole -a -p' abre um prompt seguro para criar ou alterar a password.

O painel de administração do Pi-hole v6. Em cima: total de consultas DNS (75 241), consultas bloqueadas (11 518, ou 15,3%), e mais de 1,1 milhões de domínios em listas de bloqueio. Em baixo: gráficos de tráfego em tempo real. Este Pi-hole está a correr num PC doméstico com 20 clientes ativos. Foto: captura do autor

Instalação no Windows — via Docker

O Pi-hole foi desenhado para Linux e não corre nativamente no Windows. Mas há uma solução elegante: o Docker. O Docker cria um pequeno ambiente Linux isolado dentro do Windows, onde o Pi-hole pode viver confortavelmente.

O Docker cria um ambiente Linux isolado dentro do Windows, permitindo correr o Pi-hole sem máquinas virtuais pesadas. A instalação do Docker Desktop é o único pré-requisito.

Se nunca usou o Docker, não se assuste. É mais simples do que parece.

Passo 1: Instalar o Docker Desktop

Vá a docker.com e descarregue o Docker Desktop para Windows. Instale e reinicie o computador quando pedir. O Docker precisa da funcionalidade de virtualização do Windows (WSL 2), que o instalador configura automaticamente.

Passo 2: Criar o contentor Pi-hole

Abra a PowerShell como administrador e execute:

Vamos explicar cada parte deste comando:

O comando 'docker run' descarrega a imagem oficial do Pi-hole e cria o contentor. Em menos de dois minutos, o Pi-hole está a correr no Windows. Aceda a http://localhost/admin para confirmar.

• docker run -d: Cria e inicia o contentor em segundo plano.
• --name pihole: Dá o nome «pihole» ao contentor. Use o que quiser.
• -p 53:53/tcp -p 53:53/udp: Expõe a porta 53 (DNS) do contentor no Windows. Isto é crucial — sem esta porta, o Pi-hole não recebe pedidos DNS.
• -p 80:80: Expõe a porta 80 (interface web) para aceder ao painel de administração.
• -e TZ: Define o fuso horário. «Europe/Lisbon» para Portugal continental.
• -e WEBPASSWORD: Define a password do painel de administração. Substitua «uma-password-segura» por algo robusto.
• -v pihole-etc e -v pihole-dnsmasq: Cria volumes persistentes. Se o contentor for apagado, as configurações e listas de bloqueio sobrevivem.
• --restart=unless-stopped: O Pi-hole arranca automaticamente quando o Windows reinicia.
• pihole/pihole:latest: A imagem oficial do Pi-hole no Docker Hub.

Passo 3: Aceder ao painel de administração

Abra o browser e vá a http://localhost/admin. Faça login com a password que definiu em WEBPASSWORD. Se tudo correu bem, verá o painel do Pi-hole — ainda sem estatísticas, porque nenhum dispositivo está a usá-lo.

Nota importante: No Windows, a porta 53 pode estar ocupada pelo próprio sistema. Se o comando docker run falhar com um erro de porta, terá de desativar o serviço DNS do Windows:

Isto desativa a cache DNS do Windows. Não se preocupe — o Pi-hole vai fazer esse trabalho muito melhor.

Como apontar a rede para o Pi-hole

Instalar o Pi-hole é só metade do caminho. Agora precisa de dizer aos seus dispositivos para o usarem.

Método 1: Mudar o DNS do router (recomendado)

Aceda ao painel de administração do seu router e procure as definições de DHCP ou DNS. Onde diz «DNS Server», substitua os valores atuais pelo IP do Pi-hole (ex: 192.168.1.100). Guarde, reinicie o router ou renove os IPs dos dispositivos, e está feito. Todos os dispositivos que se ligarem à rede passam a usar o Pi-hole automaticamente.

Como o tráfego DNS flui depois de configurar o Pi-hole. Todos os dispositivos da casa (telemóveis, portáteis, TVs, consolas) passam pelo Pi-hole. Ele bloqueia os pedidos para servidores de anúncios e malware, e deixa passar o resto.

Dica: Configure também um DNS secundário de fallback (ex: 1.1.1.2 da Cloudflare, que tem filtro de malware). Se o Pi-hole falhar, a Internet não vai abaixo — os dispositivos usam o fallback.

Método 2: Configurar dispositivo a dispositivo

Se não quiser ou não puder mexer no router, pode configurar cada dispositivo individualmente. No Windows, vá a Definições > Rede e Internet > Propriedades > Definições de DNS. No Android, vá a Wi-Fi > Gerir definições de rede > Definições de IP > Estático. Em ambos, introduza o IP do Pi-hole como servidor DNS.

É mais trabalhoso, mas funciona. E é útil para testar — configure o seu portátil primeiro, veja se gosta dos resultados, antes de mudar a rede inteira.

Afine o Pi-hole: listas de bloqueio e ajustes finos

O Pi-hole acabado de instalar já bloqueia muita coisa. Mas com três ou quatro ajustes, torna-se num canhão.

Adicionar mais listas de bloqueio

No painel de administração, vá a Lists (Grupos > Listas) e adicione estes URLs:

Estas três listas combinadas somam mais de 1 milhão de domínios bloqueados. A OISD Full é particularmente interessante porque é mantida por um Holandês obcecado por não partir sites legítimos. Bloqueia tudo o que é lixo publicitário mas dificilmente causa falsos positivos — aqueles momentos irritantes em que um site deixa de funcionar por causa do bloqueador.

Depois de adicionar as listas, vá ao terminal e execute:

Este comando compila a base de dados de bloqueios. Pode demorar um minuto com listas grandes.

O comando 'pihole -g' (gravity) compila as listas de bloqueio. Com as três listas recomendadas, o Pi-hole processa mais de 1,1 milhões de domínios únicos. A atualização é semanal e automática — não precisa de se lembrar.

Ajustar o tempo de cache

O Pi-hole mantém uma cache de respostas DNS para acelerar as consultas repetidas. Pode controlar quanto tempo os registos ficam em cache. Valores mais altos = mais velocidade, menos consultas externas. No ficheiro de configuração (ou na interface web, em Settings > DNS), ajuste:

• Cache mínimo (min-cache-ttl): 300 segundos (5 minutos). Evita que domínios com TTL muito curto estejam sempre a ser reconsultados.
• Cache máximo (max-cache-ttl): 86 400 segundos (24 horas). Impede que registos fiquem eternamente em cache, o que poderia causar problemas se um site mudar de IP.

Para utilizadores avançados: Unbound — o teu próprio DNS recursivo

Por defeito, o Pi-hole pergunta a um fornecedor externo (Cloudflare, Google, Quad9) sempre que precisa de resolver um domínio que não está em cache. Esses fornecedores veem todas as tuas consultas DNS. Sabem que sites visitas, a que horas, com que frequência.

O Unbound elimina este intermediário. É um servidor DNS recursivo que fala diretamente com os servidores raiz da Internet. Nenhuma entidade externa vê o teu tráfego DNS completo. É o equivalente digital a teres a tua própria central telefónica, em vez de pedires à PT para te fazer as chamadas.

A instalação é simples. No terminal da máquina do Pi-hole:

Depois, no painel do Pi-hole (Settings > DNS), desative os servidores DNS externos e adicione 127.0.0.1#5335 como único upstream. A partir deste momento, o Pi-hole resolve tudo sozinho, falando diretamente com a raiz da Internet. Mais privacidade. Mais independência. Zero dependência de terceiros.

Estatísticas de longo prazo do Pi-hole. Cada barra representa um dia de tráfego DNS. As cores mostram consultas permitidas (azul) e bloqueadas (vermelho). Ao fim de algumas semanas, começa a perceber padrões de tráfego que nem sabia que existiam. Foto: Pi-hole

O que esperar — e o que não esperar

Depois de uma semana com o Pi-hole a funcionar, o painel vai mostrar-lhe coisas fascinantes. Dispositivos que nunca imaginou estarem a ligar-se a servidores de analytics. Câmaras IP que tentam contactar a China de 10 em 10 minutos. Smart TVs que insistem em contar à Samsung tudo o que vê. Colunas Alexa que falam com 17 servidores diferentes antes de tocarem a primeira música.

Mas o Pi-hole não é mágico. Algumas realidades:

• Anúncios no YouTube: O Pi-hole não bloqueia anúncios do YouTube. Estes vêm dos mesmos servidores que os vídeos (googlevideo.com). Bloquear o domínio bloquearia também os vídeos. Para o YouTube, continue a usar o uBlock Origin no browser ou o YouTube ReVanced no Android.
• Facebook e Instagram: Bloqueia muitos rastreadores e anúncios na web, mas não bloqueia os anúncios patrocinados que aparecem no feed — esses vêm do mesmo domínio que o conteúdo legítimo.

Manutenção: o que precisa de fazer (quase nada)

Uma das belezas do Pi-hole é que, depois de instalado e configurado, vive sozinho. Mas há duas ou três coisas que convém fazer de vez em quando:

• Atualizar o Pi-hole: Execute pihole -up a cada dois ou três meses para obter a versão mais recente do FTL e da interface web.
• Atualizar as listas de bloqueio: O Pi-hole atualiza a base de dados semanalmente por defeito. Pode forçar com pihole -g ou mudar a periodicidade nas definições.
• Verificar as estatísticas: Uma vez por mês, espreite o painel. Vai descobrir novos domínios de tracking que apareceram em atualizações de apps. É viciante.
• Fazer backup: Guarde o ficheiro de configuração e a base de dados. Com o Docker, os volumes fazem isto automaticamente. Com instalação nativa, faça pihole -a -t para exportar as definições.

Vale a pena?

A primeira vez que abrir um site de notícias que costuma ter 15 faixas publicitárias e vir apenas o texto, as imagens do artigo e espaço em branco limpo — vai perceber. A primeira vez que vir a sua smart TV a tentar ligar-se a 32 servidores de analytics e perceber que o Pi-hole bloqueou todos — vai sentir uma satisfação difícil de descrever.

O Pi-hole não é um produto. É uma ferramenta. Gratuita, open source, mantida por uma comunidade de developers que acreditam que a Internet pode ser melhor. Já foi instalado em milhões de dispositivos em todo o mundo. Corre em data centers, em escolas, em casas como a sua.

Custa zero euros. Demora 20 minutos a instalar. E a partir do momento em que está a correr, trabalha 24 horas por dia, sete dias por semana, sem se queixar, sem pedir subscrições, sem vender os seus dados a ninguém.

Se ainda não tem um Pi-hole na sua rede, a pergunta não é «porquê?». É «porque não?».

Nota do editor: O Pi-hole que usámos para as capturas de ecrã deste artigo corre num PC Linux Mint reciclado com 512 MB de RAM, instalado atrás de um router MikroTik doméstico. Serve 20 dispositivos, já bloqueou mais de 11 000 consultas maliciosas ou publicitárias, e tem 1,1 milhões de domínios em listas de bloqueio. Custo total do hardware: 0 €. O computador já cá estava.