一台小型 Raspberry Pi 教会我关于 DNS、隐私和家庭控制的知识
Source: Dev.to
Image: Raspberry Pi home‑lab
大多数人从不考虑 DNS。
它是那种在后台悄悄运行的东西——就像管道一样。
直到有一天它失灵了……突然之间,互联网上的一切都变得毫无意义。
作为一名云工程师,我花了很多时间思考组织层面的系统。
但在家里,我意识到一件讽刺的事——我盲目地信任 ISP 提供的 DNS,尽管这是一项基础服务,却没有可视性、没有控制,也几乎没有思考。
本文讲述了一块小小的 Raspberry Pi 如何悄然成为我实践真实基础设施理念的练习场——没有生产事故、没有压力,也没有愤怒的用户。
Note: 这不是一个完美的成功案例,而是学习之旅的起点。
为什么我在家需要一台 Raspberry Pi
我开始这个项目并不是因为无聊,当然也不是仅仅为了屏蔽广告(这只是一个不错的副作用)。让我困扰的是:
- 到处都是广告
- 到处都有追踪
- DNS 请求在悄悄进行
- 完全看不到这些请求的去向
- DNS 是互联网的第一步——每个网站、应用和 API 调用都从这里开始
在工作中,我们会讨论安全性、可观测性、信任边界和可靠性。而在家里,我根本没有这些。
我没有去再启动一个云 VM,而是决定把这些理念带到家庭规模——使用一种小巧、廉价且始终在线的设备。于是 Raspberry Pi 成了合适的选择。
不是玩具,而是其他设备依赖的微型基础设施。
为什么选择 Raspberry Pi Zero 2W(而不是 Raspberry Pi 5)?
当人们听到“Raspberry Pi”时,讨论往往直接跳到性能。
“为什么不直接买 Raspberry Pi 5?”
这是个合理的问题——但却是错误的出发点。
我特意选择了 Raspberry Pi Zero 2W,这个决定塑造了整个学习体验。Zero 2W 的特点是:
- 便宜
- 静音
- 极低功耗
- 功能受限(正是因为它如此,才是很好的教学工具)
在工作中,遇到慢的情况我们会增加资源。
在家里,这块 Pi 会礼貌地说 不,并迫使你:
- 在安装东西之前先思考
- 了解每个服务在做什么
- 尊重 CPU 和内存的限制
学习驾驶不需要法拉利。你只需要一辆小车、狭窄的道路,以及几次让你终生难忘的失误。这块 Pi 给了我这三样东西。
成本细目(保持诚实)
这个项目并不是从一次购物狂欢开始的。所有这些都运行在大约 £25 的硬件上——比大多数月度云费用更便宜。
| 项目 | 大约费用 |
|---|---|
| Raspberry Pi Zero 2W | £5‑£7 |
| 32 GB micro‑SD 卡(推荐) | £5 |
| 电源适配器 | £3‑£5 |
| 笔记本电脑(当然 😄) | — |
就这些。没有机架,没有交换机,没有在月末悄悄评判你的云账单。对于一台 24/7 运行的设备来说,电力成本几乎可以忽略不计。另一方面,学习回报每天都在显现。
图片:Pi‑hole 仪表盘
从宏观上看,Raspberry Pi 位于我的家庭设备和互联网之间,集中处理 DNS 请求。
第一项服务:Pi‑hole
我安装的第一个服务是 Pi‑hole——并不是因为它很炫,而是因为它能立刻提供可见的价值。
网络中的每台设备都会不断询问:“这个网站在哪里?”
Pi‑hole 站在中间,平静地回复:
- “可以”
- “好的”
- “绝对不行,那是广告追踪器”
……而且它在 广告甚至还没来得及加载之前 就拦截了它们。这是在 DNS 层面完成的,而不是在浏览器里尽力阻止。
结果
- 浏览更清爽
- 应用更快
- 看着广告拦截计数上升时的安静满足感
此时,项目已经不再是“仅仅学习”,而是真正变得有用。
图片:Pi‑hole 仪表盘显示我家庭网络中的 DNS 查询和被拦截的域名
Making It Accessible Anywhere: Tailscale
One small problem remained: the Raspberry Pi lives at home, but I don’t.
Port forwarding was an option — a bad one. Instead I used Tailscale, which creates a private, encrypted network between my devices.
- No public IP exposure
- No firewall gymnastics
- No “hope this is secure” feeling
Just private access, the way it should be. This made the Pi feel less like a local gadget and more like a real, managed system.
提升隐私的 Unbound
屏蔽广告固然不错,但我仍想了解我的 DNS 查询到底发往何处。
默认情况下,许多配置会将 DNS 转发到公共解析器。这虽可行,却仍然把 你正试图监控的东西 外包出去。
(文章后续将介绍 Unbound 的配置、监控以及后续步骤…)
信任。 添加 Unbound 将 Raspberry Pi 变成了递归 DNS 解析器:
- 它直接与根服务器通信。
- 它一步一步地建立信任。
它降低了对第三方的依赖。
这正是该设置不再像业余爱好,而开始像真实基础设施——只不过规模更小的时刻。
证明它有效
这就是理论转化为信心的地方。
我现在真的可以看到:
- 总 DNS 查询
- 被拦截的广告
- 各设备的流量模式
- DNS 不再是不可见的
而仅仅这种可视性就改变了我对家庭网络的看法。
未使用 Pi‑hole 的截图
(在我的手机上未进行网络级拦截时)
启用 Pi‑hole 的截图
(使用我的家庭 DNS 设置时)
差异立即显现。
结束语
此时:
- DNS 在家中可靠运行。
- 广告在所有设备上被拦截。
- 隐私得到了提升。
而这台小小的 Raspberry Pi 已经成为一个随时开启、我可以从中学习的系统。
这里没有企业级规模——这正是重点。
目的是在家中安全地实践真实想法,而不影响生产环境。
仍有许多可探索的内容,但目前这已经是坚实的基础。
如果你想自己构建完全相同的设置,下一篇文章将逐步演示安装过程。