🧠 Jak stworzyć prywatny serwer DNS i poprawić bezpieczeństwo przeglądania

Własny prywatny serwer DNS to doskonały sposób na zwiększenie bezpieczeństwa, prywatności i kontroli nad ruchem sieciowym. W dobie cenzury, phishingu i śledzenia użytkowników przez reklamy, konfiguracja własnego DNS-a pozwala nie tylko przyspieszyć działanie sieci, ale także blokować złośliwe domeny i reklamy. W tym poradniku pokażemy krok po kroku, jak stworzyć własny serwer DNS w systemie Linux lub Windows, oraz jak go zabezpieczyć przed nadużyciami.

🌍 Co to jest DNS i dlaczego warto mieć własny?

DNS (Domain Name System) tłumaczy nazwy domen (np. netbe.pl) na adresy IP (np. 91.198.122.80). Standardowo używamy serwerów DNS dostarczonych przez dostawcę Internetu lub publicznych, takich jak Google (8.8.8.8) czy Cloudflare (1.1.1.1).

Problem w tym, że każde zapytanie DNS ujawnia, jakie strony odwiedzasz. Operator lub osoby trzecie mogą to monitorować, a nawet modyfikować wyniki zapytań.

Dlatego warto stworzyć własny serwer DNS, który:

• 🔒 Zwiększa prywatność — zapytania nie opuszczają Twojej sieci,
• 🧩 Filtruje niebezpieczne i reklamowe domeny,
• ⚡ Przyspiesza przeglądanie dzięki lokalnemu cache,
• 🛡️ Chroni przed phishingiem i malwarem,
• ⚙️ Pozwala tworzyć prywatne rekordy DNS (np. nas.local, server.home).

🧰 Wybór oprogramowania DNS

Najpopularniejsze darmowe rozwiązania do hostowania prywatnego DNS to:

🧩 Przykład 1: Twój własny DNS na Linuxie (Unbound)

Unbound to szybki i bezpieczny rekurencyjny resolver, idealny dla domowego serwera lub sieci firmowej.

🔧 Instalacja (Debian/Ubuntu)

sudo apt update
sudo apt install unbound

⚙️ Konfiguracja

Edytuj plik /etc/unbound/unbound.conf i dodaj:

server:
    verbosity: 1
    interface: 0.0.0.0
    access-control: 192.168.0.0/16 allow
    do-ip6: no
    hide-identity: yes
    hide-version: yes
    qname-minimisation: yes
    use-caps-for-id: yes
    prefetch: yes
    cache-min-ttl: 3600
    harden-glue: yes
    harden-dnssec-stripped: yes

forward-zone:
    name: "."
    forward-tls-upstream: yes
    forward-addr: 1.1.1.1@853  # Cloudflare DNS-over-TLS
    forward-addr: 9.9.9.9@853  # Quad9

Zapisz plik i uruchom ponownie usługę:

sudo systemctl restart unbound
sudo systemctl enable unbound

🧪 Test działania

dig @127.0.0.1 netbe.pl

Jeśli otrzymasz poprawny adres IP — serwer działa poprawnie.

Teraz ustaw IP serwera (np. 192.168.0.10) jako główny DNS w routerze lub na komputerach w sieci lokalnej.

🧩 Przykład 2: Pi-hole — DNS z filtrowaniem reklam

Pi-hole to idealne rozwiązanie dla użytkowników domowych, które łączy DNS z blokadą reklam i złośliwych stron.

🧱 Instalacja (Linux / Raspberry Pi)

curl -sSL https://install.pi-hole.net | bash

W kreatorze instalacyjnym wybierz:

• interfejs sieciowy,
• upstream DNS (np. Cloudflare),
• włączenie list blokujących reklamy.

Po zakończeniu instalacji przejdź do panelu:
👉 http://IP_SERWERA/admin

Zaloguj się i włącz dodatkowe listy blokad (np. malware, phishing).

⚙️ Integracja

Ustaw adres Pi-hole jako DNS w routerze, a cały ruch DNS w sieci będzie filtrowany.

Dla dodatkowego bezpieczeństwa możesz połączyć Pi-hole z Unbound jako resolver lokalny:

sudo apt install unbound
sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf

Dodaj:

server:
    verbosity: 0
    interface: 127.0.0.1
    port: 5335
    do-ip6: no
    do-tcp: yes
    do-udp: yes
    hide-identity: yes
    hide-version: yes
    qname-minimisation: yes
    prefetch: yes
    use-caps-for-id: yes

forward-zone:
    name: "."
    forward-addr: 1.1.1.1@853
    forward-addr: 9.9.9.9@853
    forward-tls-upstream: yes

Teraz Pi-hole korzysta z lokalnego Unbound z szyfrowaniem DNS-over-TLS — pełna prywatność i bezpieczeństwo!

🪟 Przykład 3: Prywatny serwer DNS w Windows (Technitium DNS)

Jeśli korzystasz z Windows, najłatwiejszym rozwiązaniem będzie Technitium DNS Server — darmowy, z GUI i obsługą DNS-over-TLS/HTTPS.

⚙️ Instalacja

1. Pobierz z https://technitium.com/dns/
2. Zainstaluj i uruchom usługę.
3. W przeglądarce otwórz: http://localhost:5380
4. W zakładce Upstream DNS wybierz:
   • Cloudflare (1.1.1.1),
   • Quad9 (9.9.9.9),
   • lub własny Unbound.

Możesz także:

• Dodać własne reguły blokujące domeny,
• Tworzyć prywatne rekordy A/CNAME (np. nas.local → 192.168.1.10),
• Włączyć DNS-over-HTTPS (DoH) lub DNS-over-TLS (DoT).

🔒 Zabezpieczenie prywatnego DNS

Aby uniknąć nadużyć i wycieków danych:

• 🔐 Ogranicz dostęp do DNS tylko dla sieci lokalnej (192.168.0.0/16 allow),
• 🚫 Zablokuj port 53 z Internetu w zaporze (iptables / Windows Firewall),
• 🧱 Włącz DNSSEC w konfiguracji,
• 🔄 Regularnie aktualizuj listy blokad i oprogramowanie,
• 📊 Monitoruj zapytania (Pi-hole / Unbound / Technitium oferują logi i statystyki).

🚀 Dodatkowe ulepszenia

• DNS-over-HTTPS (DoH) – szyfruje zapytania DNS, uniemożliwiając ich podsłuchanie,
• DNS-over-TLS (DoT) – szyfrowany kanał TLS na porcie 853,
• DNSSEC – zapobiega fałszowaniu odpowiedzi DNS,
• Rekordy prywatne – definiuj własne domeny lokalne, np. server.lab.

✅ Podsumowanie

Stworzenie prywatnego serwera DNS to jeden z najprostszych, a zarazem najbardziej skutecznych sposobów na zwiększenie bezpieczeństwa i prywatności w sieci.
Dzięki takim rozwiązaniom jak Unbound, Pi-hole czy Technitium DNS, możesz mieć pełną kontrolę nad ruchem DNS, filtrować szkodliwe domeny i uniknąć podsłuchu zapytań. To idealny krok dla każdego, kto chce uczynić swoją sieć domową lub firmową bardziej odporną na ataki i śledzenie.

Polecane wpisy

Atak Wi-Fi Eavesdropping. Co to jest, jak przebiega, jak się zabezpieczyć?

Atak Wi-Fi Eavesdropping – czym jest i jak się przed nim chronić? Wi-Fi Eavesdropping (podsłuchiwanie sieci bezprzewodowej) to rodzaj ataku, Czytaj dalej

Problemy z serwerem X (GUI): Błędy uruchamiania środowiska graficznego, problemy ze sterownikami kart graficznych (Nvidia, AMD, Intel) w różnych dystrybucjach

Problemy z serwerem X (GUI): Błędy uruchamiania środowiska graficznego, problemy ze sterownikami kart graficznych (Nvidia, AMD, Intel) w różnych dystrybucjach Czytaj dalej

Czytaj  Bruteforce – Co to jest i na czym polegają ataki typu brute force?