XDA a passé la semaine à documenter comment donner à Claude le contrôle total d’un serveur DNS a appris à l’auteur plus que des années de documentation. L’article est plus drôle que le titre le suggère, mais le point fondamental est réel. Un serveur DNS auto-hébergé est l’une des améliorations à plus fort effet de levier qu’un réseau domestique peut obtenir, et les applications qui le rendent possible ont mûri bien au-delà du point « Pi-hole ou rien ». Le choix n’est pas quel outil bloque les publicités ; c’est quel outil vous donne le bon mélange de filtrage, mise en cache, chiffrement et visibilité pour le type de réseau que vous exécutez réellement.
Nous avons testé 8 des meilleures applications pour DNS auto-hébergé sur un Raspberry Pi, un mini PC Intel exécutant Linux et un serveur Windows dans un petit bureau. Le mélange d’évaluation était l’ennui : temps de configuration, gestion des listes noires, DNS-over-TLS ou DNS-over-HTTPS en amont, enregistrement des requêtes et ce que chaque outil fait quand quelque chose se casse à 2 heures du matin.
Ce qu’il faut rechercher dans un serveur DNS auto-hébergé
Six critères séparent les outils d’utilisation quotidienne des expériences :
- Gestion des listes noires. Le point entier. Les outils qui mettent à jour automatiquement les listes et vous permettent de maintenir des listes blanches par client gagnent.
- Récursif vs forwarding. Un résolveur récursif (Unbound, BIND) parle directement avec les serveurs racine. Un forwarder remet à un résolveur public. Le premier est plus privé, le second est plus rapide sur les requêtes à froid.
- Chiffrement en amont. DNS-over-TLS et DNS-over-HTTPS rendent vos requêtes opaques à l’ISP. Pas tous les outils le font.
- Politique par client. Des règles différentes pour la tablette des enfants et le bureau à domicile importent plus que les gens ne s’y attendent.
- Enregistrement et tableaux de bord. Un tableau de bord montrant ce qui est bloqué est ce qui convainc le reste du ménage.
- Basculement. Un DNS domestique qui se casse emporte Internet avec lui. Le comportement de basculement et la facilité d’exécution d’une instance secondaire importent.
Comparaison rapide
| Application | Meilleur pour | Type | Option gratuite | Caractéristique remarquable |
|---|---|---|---|---|
| Pi-hole | DNS domestique par défaut avec tableau de bord poli | Résolveur de forwarding | Oui (open source) | Plus grande communauté et plus de listes noires tierces |
| AdGuard Home | Alternative polie à Pi-hole | Résolveur de forwarding | Oui (open source) | Politique par client dans l’interface par défaut |
| Technitium DNS | Autoritaire et récursif dans une application | Récursif + autoritaire | Oui (open source) | Héberge vos propres zones internes avec clarté |
| Blocky | Filtre DNS léger binaire unique | Résolveur de forwarding | Oui (open source) | Facile à déployer dans les conteneurs et à éditer par YAML |
| Unbound | Pur résolveur récursif | Résolveur récursif | Oui (open source) | Résolveur récursif meilleur de sa catégorie respectueux de la vie privée |
| dnsmasq | DNS léger, DHCP et TFTP pour un petit LAN | Forwarder de mise en cache | Oui (open source) | Résolveur de classe routeur classique « assez bon » |
| BIND9 | DNS autoritaire de niveau production | Autoritaire + récursif | Oui (open source) | Implémentation de référence pour les charges sérieuses |
| dnscrypt-proxy | Couche de chiffrement devant n’importe quel résolveur | Proxy de chiffrement DNS | Oui (open source) | Ajoute DoH et DoT à tout ce qui ne les supporte pas |
Les 8 meilleures applications pour DNS auto-hébergé sur bureau
1. Pi-hole — meilleur par défaut pour DNS domestique
Pi-hole est l’application sur laquelle la plupart des réseaux domestiques atterrissent. Le script d’installation s’exécute sur un Raspberry Pi, une VM Linux ou dans un conteneur, et en dix minutes le réseau a un tableau de bord montrant chaque suivi bloqué. L’écosystème de listes noires est le plus grand de sa catégorie, avec des listes curées par la communauté pour presque chaque classe d’appareil. La gestion de groupe vous permet de créer une politique pour la tablette des enfants qui diffère du bureau.
Où il est court : La politique par client est fonctionnelle mais pas aussi fluide qu’AdGuard Home. La conception de l’interface Web est dépassée par rapport à la concurrence polie. Le chiffrement DNS en amont nécessite un sidecar comme dnscrypt-proxy ou Cloudflared.
Tarification :
- Gratuit : open source
- Payant : aucun
Plateformes : Linux (préféré), Raspberry Pi, s’exécute dans Docker sur Windows et macOS
Télécharger : pi-hole.net
Conclusion : Choisissez Pi-hole pour DNS auto-hébergé si vous voulez la valeur par défaut avec la plus grande communauté et la configuration la plus documentée.
2. AdGuard Home — meilleure alternative polie à Pi-hole
AdGuard Home fait la même chose que Pi-hole avec une interface plus lisse et une politique par client dans l’installation par défaut. DNS-over-TLS, DNS-over-HTTPS et DNSCrypt en amont sont intégrés. Le tableau de bord est plus facile à lire en un coup d’œil, et l’interface de gestion des listes noires est plus conviviale pour les nouveaux utilisateurs.
Où il est court : La communauté est plus petite qu’avec Pi-hole, ce qui signifie parfois qu’un tutoriel que vous trouvez est pour Pi-hole et que vous le traduisez. Le marché des listes noires est bon mais plus petit.
Tarification :
- Gratuit : open source
- Payant : aucun (les services AdGuard VPN et DNS distincts sont vendus par la même entreprise)
Plateformes : Linux, Windows, macOS, s’exécute dans Docker n’importe où
Télécharger : adguard.com/en/adguard-home
Conclusion : Choisissez AdGuard Home pour DNS auto-hébergé si vous voulez une interface polie et le chiffrement intégré sans installer un deuxième outil.
3. Technitium DNS — meilleur pour autoritaire plus récursif dans une application
Technitium DNS est le choix pour les utilisateurs qui veulent un réseau domestique qui héberge ses propres zones internes et résout les requêtes sortantes dans la même application. Les noms d’hôte locaux, les certificats SSL internes et le DNS split-horizon fonctionnent tous sans trois logiciels. L’interface Web est propre. L’application s’exécute sur Windows ou Linux et est livrée en tant qu’application .NET unique.
Où il est court : Communauté plus petite qu’avec Pi-hole. Certains filtres avancés nécessitent des règles personnalisées plutôt qu’un marché curé.
Tarification :
- Gratuit : open source
- Payant : aucun
Plateformes : Windows, Linux, macOS (via runtime .NET), Docker
Télécharger : technitium.com/dns
Conclusion : Choisissez Technitium DNS pour DNS auto-hébergé si vous avez également besoin de DNS autoritaire pour une zone interne et que vous ne voulez pas un deuxième outil.
4. Blocky — meilleur DNS léger compatible avec les conteneurs
Blocky est un binaire Go unique qui s’exécute en tant que serveur DNS de filtrage, configuré par un petit fichier YAML. C’est l’outil le plus simple de cette liste à déployer dans une pile de conteneurs à côté d’autres services. Les sources de listes noires, les redirections personnalisées et la politique par client vivent tous dans un fichier que vous pouvez mettre en contrôle de version. L’exportation de métriques est native Prometheus, qui convient aux labos domestiques qui exécutent déjà Grafana.
Où il est court : Pas d’interface Web propre. Vous obtenez un tableau de bord Prometheus, pas une vue des requêtes de style Pi-hole.
Tarification :
- Gratuit : open source
- Payant : aucun
Plateformes : Linux, Windows, macOS, Docker
Télécharger : github.com/0xERR0R/blocky
Conclusion : Choisissez Blocky pour DNS auto-hébergé si vous vivez dans des conteneurs, contrôlez la version de votre config et voulez une empreinte petite.
5. Unbound — meilleur résolveur récursif
Unbound est un pur résolveur récursif. Il parle directement avec les serveurs racine, valide DNSSEC par défaut et ne remet rien à un résolveur public en amont. Les utilisateurs de Pi-hole installent souvent Unbound derrière Pi-hole pour exactement cette raison : filtrage au Pi-hole, récursion à Unbound. La combinaison supprime complètement la dépendance à Cloudflare, Google ou Quad9.
Où il est court : Pas de support de liste noire propre. Cela fait une tâche et la fait bien ; le filtrage incombe à tout ce qui se trouve devant.
Tarification :
- Gratuit : open source
- Payant : aucun
Plateformes : Linux, Windows, macOS
Télécharger : nlnetlabs.nl/projects/unbound
Conclusion : Choisissez Unbound pour DNS auto-hébergé si vous voulez la récursion complète sans faire confiance à un résolveur public, et vous êtes heureux de l’appairer avec un front-end de filtrage.
6. dnsmasq — meilleur résolveur léger pour un petit LAN
dnsmasq est le résolveur qui est livré dans le firmware de la plupart des routeurs domestiques, et il fonctionne aussi bien qu’un petit serveur DNS plus DHCP-LAN sur un Raspberry Pi. La syntaxe de configuration est succincte mais stable, l’utilisation des ressources est minuscule, et elle a été l’épine dorsale ennuyeuse des réseaux domestiques pendant deux décennies. Pour un petit LAN qui a besoin de DNS et DHCP du même boîtier sans tableau de bord, c’est la bonne réponse.
Où il est court : Pas de marché de listes noires. Pas d’interface. Enregistrement via syslog.
Tarification :
- Gratuit : open source
- Payant : aucun
Plateformes : Linux, BSD
Télécharger : thekelleys.org.uk/dnsmasq
Conclusion : Choisissez dnsmasq pour DNS auto-hébergé si vous voulez le résolveur le plus léger possible plus DHCP, pas d’interface, pas de surprises.
7. BIND9 — meilleur DNS de niveau production
BIND9 est le serveur DNS de référence et le choix quand le temps de disponibilité n’est pas négociable. La syntaxe de configuration est intimidante, l’historique du projet est long, et la documentation suppose que vous prenez le DNS au sérieux. Pour un labo domestique qui double comme environnement d’apprentissage pour les compétences de production, BIND est le bon marteau.
Où il est court : Courbe d’apprentissage abrupte. Pas d’interface de listes noires. Excessif pour la plupart des réseaux domestiques.
Tarification :
- Gratuit : open source
- Payant : contrats de support optionnels de l’ISC
Plateformes : Linux, BSD, Windows
Télécharger : isc.org/bind
Conclusion : Choisissez BIND9 pour DNS auto-hébergé si vous voulez des outils de niveau production à la maison et que vous utilisez le labo domestique pour apprendre les compétences que vous utiliserez au travail.
8. dnscrypt-proxy — meilleure couche de chiffrement pour n’importe quel résolveur
dnscrypt-proxy n’est pas un filtre ou un résolveur récursif. Il se trouve devant tout ce que vous exécutez et ajoute le support DNS-over-HTTPS, DNS-over-TLS et DNSCrypt. Pour Pi-hole, dnsmasq ou tout autre outil qui ne parle pas le DNS chiffré en amont de manière native, c’est le moyen le plus facile de l’ajouter.
Où il est court : Ajoute une autre pièce mobile à la pile. Configuration via TOML.
Tarification :
- Gratuit : open source
- Payant : aucun
Plateformes : Linux, Windows, macOS, BSD
Télécharger : github.com/DNSCrypt/dnscrypt-proxy
Conclusion : Choisissez dnscrypt-proxy pour DNS auto-hébergé si vous avez un outil de filtrage que vous aimez et que vous voulez ajouter DoH ou DoT en amont sans le changer.
Comment choisir le bon
Si vous voulez la valeur par défaut et la plus grande communauté, exécutez Pi-hole.
Si vous voulez une politique par client dans l’interface par défaut et le chiffrement intégré en amont, exécutez AdGuard Home.
Si vous avez également besoin de DNS autoritaire pour une zone interne, exécutez Technitium DNS.
Si vous vivez dans des conteneurs et contrôlez la version de votre config, exécutez Blocky.
Si vous voulez la véritable résolution récursive plutôt que le forwarding, exécutez Unbound derrière n’importe quel outil de filtrage que vous choisissez.
Si vous voulez le résolveur le plus léger possible plus DHCP sur un petit LAN, exécutez dnsmasq.
Si vous voulez DNS de niveau production en tant que projet de labo domestique, exécutez BIND9.
Si vous voulez ajouter un DNS amont chiffré à l’un des éléments ci-dessus, ajoutez dnscrypt-proxy.
La configuration domestique la plus forte que nous avons testée était Pi-hole ou AdGuard Home pour le tableau de bord et le filtrage, Unbound derrière pour la récursion, et dnscrypt-proxy devant n’importe quel lien qui avait besoin de chiffrement.
FAQ
Pi-hole est-il toujours le meilleur DNS auto-hébergé ?
C’est le plus populaire et le plus documenté. AdGuard Home s’égale ou le surpasse sur la politique par client et le chiffrement intégré. Les deux sont de bons défauts.
Un DNS auto-hébergé cassera-t-il mon Internet s’il plante ?
Seulement si vous n’avez pas de secours. La plupart des routeurs vous permettent de définir un serveur DNS secondaire. Pointez vers un résolveur public (1.1.1.1 ou 9.9.9.9) et les clients reviennent quand votre DNS domestique se déconnecte.
Quelle est la différence entre Pi-hole et Unbound ?
Pi-hole filtre et remet les requêtes à un résolveur en amont. Unbound résout les requêtes en parlant directement aux serveurs racine. L’exécution des deux signifie filtrage au Pi-hole, récursion à Unbound, pas de dépendance à un résolveur public.
Puis-je exécuter DNS auto-hébergé sur un Raspberry Pi ?
Oui. Pi-hole, AdGuard Home, Blocky et dnsmasq s’exécutent tous confortablement sur un Raspberry Pi 4 ou plus récent. Un Pi 5 a de la marge pour plusieurs services dans le même boîtier.
Dois-je apprendre le DNS pour exécuter un serveur auto-hébergé ?
Pour Pi-hole et AdGuard Home, non. Les scripts d’installation gèrent les parties ennuyeuses. Pour BIND9 et les fonctionnalités plus avancées de Technitium, comptez passer un week-end à lire.