hagezi/dns-blocklists项目中的DNS列表更新问题分析与解决方案

问题背景

在使用hagezi/dns-blocklists项目提供的DNS过滤列表时，部分用户遇到了列表更新失败的问题。具体表现为在Pi-hole的gravity更新过程中，某些列表（如pro.txt）会间歇性出现"Connection Refused"错误，而其他列表（如multi.txt）却能正常更新。这个问题在Docker容器环境中尤为常见，特别是在Synology NAS上运行的Pi-hole实例。

问题分析

经过深入分析，我们发现这个问题可能由多个因素共同导致：

1. 网络连接稳定性：虽然基础网络连接看似正常，但DNS解析或HTTPS连接可能存在间歇性问题。

2. 时间同步问题：系统时间不准确会导致SSL/TLS连接验证失败，特别是在容器环境中。

3. DNS解析配置：容器内部的DNS解析设置不当可能导致间歇性的解析失败。

4. Pi-hole自身限制：Pi-hole可能对频繁的列表更新请求进行限流。

5. 容器权限不足：缺乏必要的系统权限会影响时间同步和网络功能。

详细解决方案

1. 网络连接诊断

建议进行持续性的网络状态检查，可以使用以下命令记录网络连接状态：

ping 8.8.8.8 | while read pong; do echo "$(date): $pong"; done >> ~/pinglog.txt

或者部署专业的网络状态监测工具如Uptime Kuma或Statping来长期观察网络质量。

2. 时间同步配置

确保容器和宿主机的时间同步非常重要：

• 检查宿主机时间同步状态
• 为Docker容器添加时间同步能力
• 在docker-compose.yml中添加必要的权限：

cap_add:
  - NET_ADMIN
  - SYS_TIME
  - SYS_NICE

3. DNS解析优化

容器内部的DNS解析配置至关重要：

dns:
  - 1.1.1.1
  - 1.0.0.1

避免仅使用127.0.0.1作为解析器，这可能导致容器无法解析外部域名。

4. Pi-hole配置调整

• 检查Pi-hole的更新频率设置
• 确保没有过于频繁的更新请求
• 验证上游DNS服务器配置

5. 完整Docker配置示例

以下是一个经过优化的完整配置示例：

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    environment:
      TZ: 'America/Los_Angeles'
      FTLCONF_webserver_api_password: ''
      FTLCONF_webserver_port: 8081
      DNSMASQ_USER: root
      FTLCONF_dns_listeningMode: local
      PIHOLE_UID: 1026
      PIHOLE_GID: 101
    volumes:
      - '/path/to/pihole:/etc/pihole'
    cap_add:
      - NET_ADMIN
      - SYS_TIME
      - SYS_NICE
    dns:
      - 1.1.1.1
      - 1.0.0.1
    network_mode: 'host'
    restart: unless-stopped

进阶建议

1. 日志分析：定期检查Pi-hole和Docker日志，寻找错误模式。

2. 资源监控：确保容器有足够的CPU和内存资源。

3. 备用方案：考虑设置备用的Pi-hole实例，提高服务可用性。

4. 定期维护：定期重启容器和检查更新，保持系统健康。

总结

DNS过滤列表更新失败通常是多种因素共同作用的结果。通过系统性地检查网络连接、时间同步、DNS配置和容器权限，大多数问题都能得到解决。对于企业级或要求高可用性的环境，建议实施更全面的监控和维护策略。

记住，稳定的DNS服务是网络安全和良好用户体验的基础，值得投入适当的时间和资源进行优化和维护。