小小的 Raspberry Pi 给我上了 DNS、隐私和家庭控制的一课
Source: Dev.to
[Image: Raspberry Pi home‑lab]
大多数人从未考虑过 DNS。
它是那种在后台悄悄运行的东西——就像管道一样。
直到有一天它不工作了……突然间,互联网上的一切都变得毫无意义。
作为一名云工程师,我花了很多时间思考组织规模的系统。
但在家里,我意识到一件讽刺的事——我盲目地信任 ISP 提供的 DNS,尽管这是一项基础服务,却没有可视性、没有控制,也几乎没有思考。
这篇博客讲述了一个小小的 Raspberry Pi 如何悄然成为我实践真实基础设施理念的练习场——没有生产事故、没有压力,也没有愤怒的用户。
Note: 这不是一个经过打磨的成功案例。这是一次学习之旅的起点。
为什么我在家需要树莓派
我并不是因为无聊才开始这个项目,也绝对不是仅仅为了拦截广告(这只是一个不错的副作用)。让我困扰的是:
- 到处都是广告
- 到处都有追踪
- DNS 请求在悄悄进行
- 完全看不到这些请求的去向
- DNS 是互联网的第一步——每个网站、应用和 API 调用都从这里开始
在工作中,我们会讨论安全性、可观测性、信任边界和可靠性。
而在家里,我根本没有这些。
我没有去再启动一个云端虚拟机,而是决定把这些理念带到家庭规模——使用一种小巧、廉价且始终在线的设备。于是树莓派就显得合情合理。
并不是把它当作玩具,而是作为其他设备依赖的微型基础设施。
为什么选择 Raspberry Pi Zero 2W(而不是 Raspberry Pi 5)?
当人们听到 “Raspberry Pi” 时,讨论往往直接跳到性能。
“为什么不直接买 Raspberry Pi 5?”
这是个合理的问题——但却是错误的起点。
我特意选择了 Raspberry Pi Zero 2W,而这个决定塑造了整个学习体验。Zero 2W 的特点是:
- 便宜
- 静音
- 极低功耗
- 功能受限(正因为如此,它才是个很好的老师)
在工作中,遇到慢的情况我们会增加资源。
在家里,这块 Pi 会礼貌地说 不,并迫使你:
- 在安装东西之前先思考
- 了解每个服务在做什么
- 尊重 CPU 和内存的限制
学习驾驶不需要一辆法拉利,只需要一辆小车、狭窄的道路,以及几次让你终生难忘的失误。这块 Pi 正好提供了这三样。
成本细目(实话实说)
This project didn’t start with a shopping spree. All of this runs on hardware that cost roughly £25 — cheaper than most monthly cloud bills.
| 项目 | 大约费用 |
|---|---|
| Raspberry Pi Zero 2W | £5‑£7 |
| 32 GB micro‑SD 卡(推荐) | £5 |
| 电源适配器 | £3‑£5 |
| 笔记本电脑(当然 😄) | — |
就这么简单。没有机架,没有交换机,也没有每月在你背后静静评判的云账单。对于全天候运行的设备来说,电力成本几乎可以忽略不计。另一方面,学习收益每天都在显现。
![Image: Pi‑hole 仪表盘]
从宏观上看,一台 Raspberry Pi 位于我的家庭设备与互联网之间,集中处理 DNS 请求。
First Service: Pi‑hole
我安装的第一个服务是 Pi‑hole —— 并不是因为它很花哨,而是因为它立刻提供了可见的价值。
网络中的每台设备都会不断询问:“这个网站在哪里?”
Pi‑hole 位于中间,冷静地回复:
- “可以”
- “好的”
- “绝对不行,那是广告追踪器”
……而且它会在 广告甚至来得及加载之前 就拦截。这是在 DNS 层面完成的,而不是在浏览器里尽力阻止。
结果
- 浏览更清爽
- 应用更快
- 看着广告拦截计数上升的安静满足感
此时,项目已经不再是“仅仅学习”,而是真正变得有用了。
随时随地访问:Tailscale
仍然有一个小问题:树莓派在家里,而我不在。
端口转发是一个选项——不佳的选项。于是我使用了 Tailscale,它在我的设备之间创建了一个私密、加密的网络。
- 没有公共 IP 暴露
- 没有防火墙的繁琐配置
- 没有“希望这安全”的感觉
仅仅是私密访问,应该是这样的。这让树莓派不再像本地小玩意儿,而更像一个真正的、受管控的系统。
Improving Privacy with Unbound
阻止广告固然不错,但我仍想了解我的 DNS 查询到底发送到了哪里。
默认情况下,许多配置会把 DNS 转发到公共解析器。这虽然可行,却仍然把你想要监控的那件事外包出去。
(文章后续会介绍 Unbound 的配置、监控以及后续步骤…)
信任。
加入 Unbound 后,Raspberry Pi 成为一个递归 DNS 解析器:
- 它直接与根服务器通信。
- 它一步步建立信任。
这降低了对第三方的依赖。
这也是整个设置从业余爱好转变为真正基础设施——只是规模更小——的关键时刻。
证明它有效
这就是理论转化为信心的地方。
我现在真的可以看到:
- 总 DNS 查询数
- 被拦截的广告
- 各设备的流量模式
- DNS 不再是不可见的
仅仅是这种可见性就改变了我对家庭网络的看法。
未启用 Pi‑hole 的截图
(使用我的手机且未进行网络层拦截)
启用 Pi‑hole 的截图
(使用我的家庭 DNS 设置)
差异立刻显现。
结束语
此时:
- DNS 在家中运行可靠。
- 广告在所有设备上被拦截。
- 隐私得到了提升。
并且这台小小的 Raspberry Pi 已经成为一个随时开启的系统,我可以从中学习。
这里没有任何企业级规模——这正是重点。
目的是在家中安全地实践真实想法,而不影响生产环境。
仍有许多内容值得探索,但目前这已经是一个坚实的基础。
如果你想自己搭建完全相同的环境,下一篇文章将逐步演示安装过程。