AdGuard Home

AdGuard Home可以向上游DNS服务器请求解析并将DNS解析结果缓存在本地,同时支持DoT和DoH的加密DNS信息,还可以记录查询日志和DNS黑名单过滤。由此可见,相对于传统路由器的DNS解析或代理(大多数消费级路由器仅仅支持HTTP协议的DNS解析并不支持DoT/DoH,同时不支持DNS黑名单)。

AdGuard Home不仅支持DoT(DNS-over-TLS)DoH(DNS-over-HTTPS),还计划在未来版本中引入对DNS-over-HTTP/3(DoH3)的支持,构建完整的加密DNS查询链路,有效防止本地网络中的窃听和篡改。

AdGuard Home通过集成来自AdGuard DNS Filter、anti-AD、EasyPrivacy等多家权威来源的规则,它能精准拦截广告、恶意软件域名、钓鱼网站以及隐私跟踪器。2025年的新版本更重构了规则匹配引擎,利用前缀树索引和SIMD指令加速,在实现毫秒级响应的同时处理海量规则,确保了安全防护不牺牲速度。

部署这个的目的很明确了,AdGuard Home通过构建一个集智能加密转发、高效多级缓存、深度内容过滤于一体的本地化DNS安全网关,真正实现了DNS解析在速度与安全上的双重提升。它不仅仅是一个工具,更是一套完整的本地DNS安全解决方案,做到两点:一是极大的加快DNS解析速度,二是提高DNS解析结果安全性(面对DNS劫持,钓鱼攻击网站等)。

AdGuard Home主页界面

部署教程

容器网络

第一步:

创建桥接网络。您需要在控制面板的网络设置中,找到并进入“网络连接”界面,以创建一个虚拟网络桥接(VBR)。其工作原理在于模拟一个虚拟交换机,将物理网卡与虚拟网卡纳入同一个局域网段。这样,虚拟机或容器就能像物理设备一样,获得独立的局域网IP并直接与网络中的其他设备通信。

虽然此步骤并非Docker运行的绝对前提,但它能解决两个关键问题:其一,绿联的Docker管理工具通常需要识别到VBR网卡才能正常运作;其二,通过此方法配置,可以实现Docker的macvlan网络之间的互访,从而增强容器网络的灵活性与连通性。

从网络架构来看,Macvlan 的性能确实显著优于传统的 Bridge 模式。这主要源于两者根本性的技术差异:macvlan 允许容器通过虚拟子接口直接与物理网络通信,数据包无需经过 Bridge 模式所需的网络地址转换(NAT)或复杂的 Linux 网桥,从而大幅降低了内核协议栈的处理开销。Bridge 模式下的 iperf3 测试速度约为 1500 Mbps,而 VBR + macvlan 的组合能够跑满 2.5 Gbps 的物理带宽。

因此,在对网络延迟、吞吐量有较高要求的生产环境(如流媒体服务、高频交易系统等)中,Macvlan 通常是比 Bridge 模式更优的选择。

创建maclvan容器网络

第二步:

创建macvlan网络。在docker的网络管理新增网络,模式选择macvlan即可,网卡选择刚刚创建的VBR网卡。

创建VBR网络

IPv6这一块选择和路由器局域网分配的唯一链路地址或唯一本地地址(唯一全球地址会因为路由器拨号下发的IPv6前缀变化而变化),例如:fe80开头的或者fd开头的。地址前缀和路由器保持一致!(本人因为已经创建了一个了,所以会冲突)

LAN地址管理
启用IPv6,设置地址

唯一本地地址相当于私有IP,可以在不同的局域网路由,例如fd80:1111::/64网段的流量可以通过路由表到fd80:1112::/64网段。而唯一链路地址是不可以路由的,也就是说只能在本地链路(同一广播域或同一局域网)内传播,可以理解为可以被二层交换机交换,而不能被路由器转发。

容器镜像

第一步:

镜像加速器配置。一般来说不需要配置,因为绿联的容器套件可以正常拉取镜像(可能广州距离香港出口比较近),如果遇到网络问题,参考官方文档:绿联云知识中心

第二步:

拉取镜像,在Docker官方镜像仓库(Docker Hub)上,AdGuard Home的官方镜像名称是:adguard/adguardhome,拉取命令:docker pull adguard/adguardhome

拉取AdGuard Home的官方镜像

部署参数

容器名称:adgurad;CPU限制:0.5核(防止死机占用宿主机资源);内存限制:512MB(防止内存泄漏),自动重启:启用,其他配置:默认。

容器基本配置CPU、内存

存储空间:挂载两个目录,分别是“/opt/adguardhome/conf”和“/opt/adguardhome/work”即可:

  • /opt/adguardhome/conf:用于存储AdGuard Home的所有配置文件(如核心的 AdGuardHome.yaml配置、自定义过滤规则、DNS设置等)。挂载此目录可确保您的所有设置在容器重启或更新后得以永久保留。
  • /opt/adguardhome/work:用于存储AdGuard Home的工作数据(如查询日志、统计数据、过滤器缓存等)。挂载此目录可保证历史数据和运行状态不会丢失。
容器存储空间配置

网络模式:选择macvlan模式,网络选择创建的macvlan网络填,IPv4子网和IPv6子网已经设置好了,地址就相当于在局域网内有这样一个实际的设备,单独分配一个IP地址即可。

容器网络配置

容器运行命令:保存默认;特权模式:不启用;其他默认。

其他配置

AdGuard Home设置

提供支持:AdGuard Home部署及优化配置 - 哔哩哔哩

常规设置

安全搜索强制启用:此功能已激活,并覆盖了主流的搜索引擎(包括Bing、D clearDuckGo、Google、YouTube、Yandex等)。启用后,无论用户如何设置,通过这些引擎的搜索都将自动过滤成人内容,非常适合家庭或办公网络环境。

浏览安全与家长控制:这两个服务均基于隐私优先的API设计。在检查域名安全性(如恶意软件、钓鱼网站)或成人内容时,仅发送域名的SHA256哈希前缀,避免了原始域名信息外泄,在保护用户免受网络威胁的同时,最大程度保障了隐私。

过滤器与Hosts文件:此为AdGuard Home的基础拦截机制,配合您设置的“DNS过滤器”,可确保过滤规则(如广告、跟踪器列表)持续有效,减少手动维护成本。

AdGurad常规设置

日志配置

启用日志:启用日志将会将访问的DNS记录信息、DNS请求的客户端、被拦截的域名等信息拦截下来。

AdGurad的日志配置

统计配置

统计使用数据,DNS请求次数、拦截次数、响应时间会统计起来。

AdGuard的统计配置

上游DNS服务器设置

建议DNS上游服务器建议选择DoT和DoH的,加密不易被记录和拦截。

AdGurad的上游DNS配置

提供支持:🚀 2025最新版 | 国内外最全免费加密DNS(DoH/DoT)清单,提速、隐私、防劫持,一站搞定!收藏这一篇就够了。 - 知乎

DNS黑名单

主要分为三大类:去跟踪、去广告、去非法。去跟踪主要是阻止厂商对我们的敏感数据过度搜集,例如:位置、喜好、浏览记录等信息。去广告主要是阻止厂商通过APP或是网页推送广告,例如:电视开屏广告、APP跳转广告(跳转之后由于解析不到地址跳转不成功)等。去非法主要是防止各类非法网站或恶意链接,例如:挖矿软件、病毒链接、恶意追踪、钓鱼网站等。

AdGurad的DNS黑名单

提供支持:AdGuard规则整理 - 哔哩哔哩

关于去广告

去广告并不是万能的,现在APP和网站学聪明了,会内置DNS解析结果或是内置本地广告。如果想要更强烈的去广告效果还是得设置防护墙直接阻断IP。当然如果您上网发现有些网页一直在转圈圈不必担心,很可能是去广告起效果了,因为无法完成DNS解析,所以广告加载不出来是很正常的,导致网页转圈圈。

路由器DHCP设置

路由器DHCP配置

DNS服务器指向自己设置的IP地址即可,除了可以通过绿联私有云部署之外,还可以在软路由上也可以部署。如果不知道IP地址是什么,可以在AdGuard Home的设置向导里面查看。

DNS配置
我是XiaoZou123,这是我的网名之一,是一个二次元浓度不是很高电脑极客,平时喜欢动手钻研这些技术。
最后更新于 2025-12-26