Pi-hole Docker容器中的DNS泄漏问题分析与解决方案

问题背景

在Pi-hole v6开发版本中，部分Docker用户报告了一个DNS泄漏问题。当用户配置了自定义的DoT(基于TLS的DNS)和DoH(基于HTTPS的DNS)上游服务器时，系统不仅会使用这些配置的DNS服务器，还会同时使用宿主机的DNS设置进行解析，导致DNS查询请求"泄漏"到未经配置的服务器。

问题表现

用户在使用Pi-hole v6开发版时发现：

1. 通过在线DNS检测工具确认存在DNS泄漏
2. 使用tcpdump抓包分析，发现查询请求同时发往自定义DNS服务器和宿主机DNS
3. 回滚到早期版本(Core vDev 4902c700)后问题消失

技术分析

这种DNS泄漏现象通常与网络配置有关，特别是在Docker环境中。可能的原因包括：

1. 网络模式选择：用户使用了macvlan网络模式，这种模式下的容器会获得独立的MAC地址，可能导致路由行为与预期不同

2. DNS解析机制变更：Pi-hole v6开发版可能对DNS解析流程进行了调整，影响了Docker环境中的DNS处理

3. 容器网络配置：Docker的DNS配置可能未正确覆盖宿主机的默认设置

解决方案

1. 版本升级：随着Pi-hole v6正式版的发布，该问题已得到解决。建议用户升级到最新稳定版本

2. 网络配置检查：

   • 确认Docker容器的网络配置是否正确
   • 检查macvlan设置是否影响了DNS流量路由
   • 验证防火墙规则是否允许DNS流量通过预期路径

3. DNS配置验证：

   • 确保Pi-hole的上游DNS设置已正确保存
   • 检查容器内的resolv.conf文件内容是否符合预期

最佳实践建议

对于在Docker中运行Pi-hole的用户，建议：

1. 定期更新Pi-hole镜像以获取最新的修复和改进
2. 使用标准网络模式(bridge)进行测试，排除macvlan可能带来的复杂因素
3. 部署后使用DNS检测工具验证配置是否生效
4. 考虑在Docker run命令中明确指定DNS服务器参数

总结

DNS泄漏问题在Pi-hole v6开发版中曾短暂出现，但已在正式版中得到修复。这提醒我们在使用开发版软件时需要更加谨慎，特别是在生产环境中。对于关键基础设施组件如DNS服务器，建议优先选择稳定版本，并在部署前进行充分测试。