Pi-hole: Bloquea Todos los Anuncios de tu Red con Docker – Guía Completa 2025

¿Cansado de anuncios que interrumpen tu navegación? ¿Trackers que siguen cada movimiento que haces en Internet? Pi-hole es tu solución definitiva: un bloqueador de anuncios a nivel de red que protege TODOS los dispositivos de tu hogar, desde el ordenador hasta la Smart TV, sin instalar nada en cada uno.

En esta guía completa te enseño a instalar Pi-hole con Docker, configurar Unbound para máxima privacidad, y convertir tu homelab en una fortaleza anti-anuncios. Todo con ejemplos prácticos, configuraciones copy-paste, y soluciones a los problemas más comunes que encontrarás en el camino.

Después de seguir esta guía, tendrás un servidor DNS que bloquea automáticamente el 40-50% de las peticiones de tu red: anuncios, trackers, telemetría y dominios maliciosos. Sin instalar nada en cada dispositivo. Sin configuración por cada app. Todo centralizado y funcionando en segundo plano.

—

📋 TL;DR

¿Qué es Pi-hole? Un servidor DNS que bloquea anuncios y trackers antes de que lleguen a tus dispositivos.

¿Qué necesitas? Docker, 10 minutos, y ganas de no ver más anuncios.

¿Resultado? Navegación limpia en TODA tu red, mejor rendimiento, más privacidad.

⏱️ Tiempo de lectura: 15 minutos

—

—

¿Por qué necesitas Pi-hole en tu homelab? {#por-que}

Antes de entrar en la instalación, déjame contarte por qué Pi-hole debería ser uno de los primeros servicios en cualquier homelab serio.

Estadísticas que asustan

Según estudios recientes, la página web promedio hace más de 70 peticiones a dominios de terceros antes de mostrarte el contenido. De esas peticiones:

30-40% son trackers y analytics
20-30% son redes publicitarias
10-15% son scripts de terceros innecesarios
Solo 20-30% es contenido real que quieres ver

Esto significa que tu navegador está haciendo el triple de trabajo del necesario en cada página que visitas. Y cada una de esas peticiones:

Consume ancho de banda – Datos que pagas y no usas
Ralentiza la carga – Tiempo que pierdes esperando
Expone tu privacidad – Cada tracker te identifica
Drena batería – En móviles, cada conexión cuenta

Mi experiencia personal

Cuando instalé Pi-hole en mi homelab, los resultados fueron inmediatos:

45% de peticiones bloqueadas en el primer día
Páginas web cargando notablemente más rápido
La Smart TV dejó de mostrar anuncios en el menú
El móvil duró más batería (menos conexiones = menos radio)
Pude ver qué dispositivos «llamaban a casa» constantemente

El momento revelador fue ver que mi Smart TV Samsung hacía más de 500 peticiones DNS al día a dominios de telemetría. Con Pi-hole, eso bajó a cero.

Dispositivos que se benefician

Dispositivo	Sin Pi-hole	Con Pi-hole
Smart TV	Anuncios en menús, tracking constante	Menús limpios, sin telemetría
Móviles	Ads en apps gratis, tracking	Apps más limpias, menos datos
IoT (Alexa, Google Home)	Telemetría constante	Solo lo esencial
Consolas	Algunos anuncios, tracking	Experiencia limpia
PCs y laptops	Ads en webs	Navegación fluida

—

¿Qué es Pi-hole y cómo funciona? {#que-es-pi-hole}

Pi-hole es un sumidero DNS (DNS sinkhole) que actúa como servidor DNS para tu red local. Cuando cualquier dispositivo intenta conectarse a un dominio de publicidad o tracking, Pi-hole intercepta la petición y la bloquea antes de que llegue a tu dispositivo.

El problema que resuelve

Imagina esto: entras a un sitio web y, antes de ver el contenido, tu navegador hace docenas de peticiones a servidores de:

Anuncios (Google Ads, Facebook Ads, etc.)
Trackers (Google Analytics, Hotjar, etc.)
Telemetría (Microsoft, Apple, etc.)
Malware (dominios maliciosos conocidos)

Cada una de estas peticiones:

Ralentiza tu navegación
Consume datos
Expone tu privacidad
Molesta con popups

La solución Pi-hole

Pi-hole se coloca entre tu router y tus dispositivos. Cuando un dispositivo pregunta «¿cuál es la IP de ads.google.com?», Pi-hole responde con una IP nula (0.0.0.0), y el anuncio nunca se carga.

Resultado: Páginas que cargan más rápido, sin anuncios, sin trackers, y con tu privacidad protegida.

Ventajas sobre extensiones de navegador

Aspecto	Extensión (uBlock)	Pi-hole
Protege navegador	✅ Sí	✅ Sí
Protege Smart TV	❌ No	✅ Sí
Protege móvil sin app	❌ No	✅ Sí
Protege IoT	❌ No	✅ Sí
Consume recursos del dispositivo	✅ Sí	❌ No
Configuración centralizada	❌ No	✅ Sí

—

Requisitos y preparación {#requisitos}

Hardware mínimo

Pi-hole es extremadamente ligero. Puede correr en:

Raspberry Pi (cualquier modelo, incluso Zero)
PC viejo con Linux
NAS con Docker (Synology, QNAP)
Servidor de homelab
VPS (con precaución)

Recursos típicos:

RAM: ~100MB
CPU: Mínima
Disco: ~1GB (con logs)

Software necesario

Docker y Docker Compose
Acceso a la configuración del router (para cambiar DNS)

Consideraciones de red

IP estática recomendada: Pi-hole debe tener siempre la misma IP
Puertos necesarios: 53 (DNS), 80 (web panel)
Sin conflictos: Asegúrate de que ningún otro servicio use el puerto 53

—

Instalación con Docker Compose {#instalacion-docker}

Paso 1: Crear la estructura de directorios

BASH

mkdir -p ~/pihole/{etc-pihole,etc-dnsmasq.d}
cd ~/pihole

Paso 2: Crear el archivo docker-compose.yml

YAML

version: "3"

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
    environment:
      TZ: 'Europe/Madrid'
      WEBPASSWORD: 'tu_password_seguro'
      PIHOLE_DNS_: '1.1.1.1;8.8.8.8'
      DNSSEC: 'true'
      QUERY_LOGGING: 'true'
      WEBTHEME: 'default-dark'
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    cap_add:
      - NET_ADMIN
    restart: unless-stopped

Paso 3: Iniciar Pi-hole

BASH

docker compose up -d

Paso 4: Verificar que funciona

BASH

docker exec pihole pihole status

Deberías ver algo como:

TEXT

[✓] FTL is listening on port 53
  [✓] Pi-hole blocking is enabled

Paso 5: Acceder al panel

Abre tu navegador y ve a: http://TU_IP/admin

Usa el password que configuraste en WEBPASSWORD.

—

Configuración del router {#configuracion-router}

Para que TODOS los dispositivos usen Pi-hole automáticamente, debes configurar tu router.

Opción A: Cambiar DNS en el router (recomendada)

Accede a la configuración de tu router (normalmente 192.168.1.1)
Busca la sección DHCP o DNS
Cambia el servidor DNS primario a la IP de Pi-hole
Deja el secundario vacío o pon la IP de Pi-hole también
Guarda y reinicia el router

Nota: Si pones un DNS secundario externo, algunos dispositivos lo usarán para evitar el bloqueo.

Opción B: DHCP en Pi-hole

Si tu router no permite cambiar el DNS:

Desactiva DHCP en tu router
En Pi-hole, ve a Settings > DHCP
Activa DHCP en Pi-hole
Configura el rango de IPs (ej: 192.168.1.100 – 192.168.1.200)

Ahora Pi-hole asignará IPs Y será el DNS de todos los dispositivos.

Verificar que funciona

Desde cualquier dispositivo de tu red:

BASH

nslookup ads.google.com

Si Pi-hole funciona, debería devolver 0.0.0.0 o similar.

—

Panel de administración {#panel-admin}

El panel de Pi-hole te da control total sobre el bloqueo.

Dashboard principal

Queries Blocked: Porcentaje de peticiones bloqueadas
Total Queries: Peticiones DNS totales
Blocklist Size: Dominios en tu lista negra
Query Log: Historial de consultas en tiempo real

Secciones importantes

Sección	Qué hace
Query Log	Ver todas las peticiones DNS
Blacklist	Bloquear dominios manualmente
Whitelist	Permitir dominios bloqueados
Group Management	Gestionar listas de bloqueo
Settings	Configuración avanzada

Bloquear un dominio manualmente

Ve a Blacklist
Introduce el dominio (ej: tracker.facebook.com)
Click en Add to Blacklist

Permitir un dominio bloqueado

A veces Pi-hole bloquea algo que necesitas. Para desbloquearlo:

Ve a Query Log
Busca el dominio problemático
Click en el botón Whitelist

—

Listas de bloqueo personalizadas {#listas-bloqueo}

Pi-hole viene con listas básicas, pero puedes añadir más para mayor protección.

Añadir nuevas listas

Ve a Group Management > Adlists
Pega la URL de la lista
Click en Add
Ejecuta: pihole -g para actualizar

Listas recomendadas (2025)

TEXT

# OISD - Lista unificada de alta calidad
https://big.oisd.nl/

# Hagezi Pro - Muy completa
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/pro.txt

# 1Hosts Lite - Equilibrada
https://o0.pages.dev/Lite/domains.txt

Advertencias importantes

⚠️ Más listas ≠ mejor bloqueo. Muchas listas se solapan.

⚠️ Listas muy agresivas pueden romper sitios web.

⚠️ Empieza con pocas y añade según necesites.

Mi recomendación: Las listas por defecto + OISD son más que suficientes para el 99% de usuarios.

—

Pi-hole + Unbound: DNS recursivo privado {#pihole-unbound}

¿Quieres máxima privacidad? Configura Unbound para que Pi-hole resuelva DNS directamente desde los servidores raíz, sin pasar por Google, Cloudflare ni ningún intermediario.

¿Por qué Unbound?

Con DNS externo	Con Unbound
Google/Cloudflare ven tus consultas	Solo tú ves tus consultas
Posible registro de actividad	Sin registros externos
Dependes de terceros	100% independiente
Latencia variable	Latencia optimizada tras cacheo

docker-compose con Unbound

YAML

version: "3"

services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      - "80:80/tcp"
    environment:
      TZ: 'Europe/Madrid'
      WEBPASSWORD: 'tu_password_seguro'
      PIHOLE_DNS_: '172.20.0.2#5335'
      DNSSEC: 'false'
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    cap_add:
      - NET_ADMIN
    restart: unless-stopped
    networks:
      pihole_net:
        ipv4_address: 172.20.0.3
    depends_on:
      - unbound

  unbound:
    container_name: unbound
    image: mvance/unbound:latest
    volumes:
      - './unbound:/opt/unbound/etc/unbound'
    restart: unless-stopped
    networks:
      pihole_net:
        ipv4_address: 172.20.0.2

networks:
  pihole_net:
    driver: bridge
    ipam:
      config:
        - subnet: 172.20.0.0/24

Configuración de Unbound

Crea el archivo unbound/unbound.conf:

INI

server:
    interface: 0.0.0.0
    port: 5335
    do-ip4: yes
    do-udp: yes
    do-tcp: yes
    
    # Seguridad
    harden-glue: yes
    harden-dnssec-stripped: yes
    
    # Privacidad
    qname-minimisation: yes
    
    # Cache
    cache-min-ttl: 3600
    prefetch: yes
    
    # Acceso
    access-control: 172.20.0.0/24 allow
    
    # Root hints
    root-hints: /opt/unbound/etc/unbound/root.hints

Descargar root hints

BASH

wget https://www.internic.net/domain/named.root -O unbound/root.hints

Iniciar

BASH

docker compose up -d

Ahora tus consultas DNS van directamente a los servidores raíz. Máxima privacidad conseguida.

—

Integración con tu Homelab {#integracion-homelab}

Pi-hole no vive aislado. Se integra perfectamente con el resto de tu infraestructura homelab.

Con Traefik o Nginx Proxy Manager

Si usas un reverse proxy, puedes acceder al panel de Pi-hole con un dominio personalizado:

YAML

# Añadir labels de Traefik al contenedor pihole
labels:
  - "traefik.enable=true"
  - "traefik.http.routers.pihole.rule=Host(`pihole.tudominio.local`)"
  - "traefik.http.services.pihole.loadbalancer.server.port=80"

Con Home Assistant-automatiza-tu-casa-con-ia-local-guia-completa-2025/)

Puedes monitorear Pi-hole desde Home Assistant añadiendo la integración oficial:

Ve a Configuración > Integraciones
Busca «Pi-hole»
Introduce la IP y API key de Pi-hole
Ahora tendrás sensores con estadísticas en tiempo real

Sensores disponibles:

Consultas totales
Consultas bloqueadas
Porcentaje de bloqueo
Dominios en lista negra
Estado del servicio

Con Prometheus y Grafana

Para dashboards avanzados, Pi-hole expone métricas que puedes scrapear con Prometheus:

YAML

# prometheus.yml
scrape_configs:
  - job_name: 'pihole'
    static_configs:
      - targets: ['pihole:80']
    metrics_path: /admin/api.php
    params:
      summaryRaw: ['1']

Hay dashboards de Grafana prediseñados para visualizar estas métricas.

Resolución de nombres locales

Una de las funciones más útiles: Pi-hole puede resolver nombres de host locales.

Ve a Local DNS > DNS Records
Añade tus servicios:

– proxmox.local → 192.168.1.10

– nas.local → 192.168.1.20

– homeassistant.local → 192.168.1.30

Ahora puedes acceder a tus servicios por nombre en lugar de IP. Mucho más cómodo.

—

Comparativa: Pi-hole vs AdGuard Home {#comparativa}

Las dos opciones más populares para bloqueo DNS. ¿Cuál elegir?

Característica	Pi-hole	AdGuard Home
Interfaz	Clásica, funcional	Moderna, pulida
DNS-over-HTTPS	Requiere config extra	Nativo
DNS-over-TLS	Requiere config extra	Nativo
Control parental	Básico	Avanzado
Perfiles por cliente	Limitado	Completo
Consumo RAM	~100MB	~150MB
Comunidad	Muy grande	Grande
Documentación	Excelente	Muy buena

¿Cuándo elegir Pi-hole?

Quieres máxima simplicidad
Tu prioridad es bloqueo de ads puro
Prefieres una comunidad más establecida
Usas hardware muy limitado (Raspberry Pi Zero)

¿Cuándo elegir AdGuard Home?

Necesitas DoH/DoT nativos sin configuración extra
Quieres control parental avanzado
Prefieres una interfaz más moderna
Gestionas múltiples perfiles de usuario

Mi opinión: Para un homelab típico, ambos son excelentes. Pi-hole tiene más historia y comunidad; AdGuard Home es más «moderno». Prueba ambos y quédate con el que prefieras.

—

Troubleshooting común {#troubleshooting}

Pi-hole no responde a consultas DNS

BASH

# Verificar estado
docker exec pihole pihole status

# Reiniciar DNS
docker exec pihole pihole restartdns

# Ver logs
docker logs pihole

Interfaz web no carga

BASH

# Verificar servicio web
docker exec pihole service lighttpd status

# Reiniciar contenedor
docker restart pihole

Dispositivos no usan Pi-hole

Verifica la configuración DNS del router
Reinicia el dispositivo para obtener nueva IP
Comprueba con: nslookup google.com TU_IP_PIHOLE

Sitio web no funciona

Probablemente está en una lista de bloqueo. Para desbloquearlo:

BASH

# Buscar el dominio
docker exec pihole pihole -q dominio.com

# Añadir a whitelist
docker exec pihole pihole -w dominio.com

Actualizar Pi-hole

BASH

# Dentro del contenedor
docker exec pihole pihole -up

# O recrear el contenedor con imagen nueva
docker compose pull
docker compose up -d

Actualizar listas de bloqueo

BASH

docker exec pihole pihole -g

—

Seguridad y hardening {#seguridad}

Pi-hole es un servicio crítico en tu red. Si falla o es comprometido, toda tu red queda afectada. Vamos a asegurarlo correctamente.

Protección contra ataques

DNS Amplification Attack: Si Pi-hole está expuesto a Internet, puede ser usado para ataques DDoS. NUNCA expongas el puerto 53 a Internet.

Acceso no autorizado al panel: Usa contraseña fuerte y considera poner el panel detrás de autenticación adicional (Authelia, Authentik).

Actualizaciones de seguridad: Mantén Docker y Pi-hole actualizados. Las vulnerabilidades en DNS son críticas.

Configuración de firewall

Si usas UFW o iptables, asegura que solo tu red local acceda a Pi-hole:

BASH

# UFW - Permitir DNS solo desde red local
sudo ufw allow from 192.168.1.0/24 to any port 53

# Bloquear acceso externo
sudo ufw deny 53

Acceso remoto seguro

Si necesitas acceder a Pi-hole desde fuera de casa:

Opción recomendada: VPN (WireGuard, Tailscale)
Alternativa: Reverse proxy con autenticación (NO exponer directamente)

BASH

# Ejemplo con Tailscale (más fácil)
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
# Ahora accedes a Pi-hole desde cualquier lugar via IP de Tailscale

Backup automático

Configura backups automáticos para no perder tu configuración:

BASH

# Cron job para backup semanal
0 3 * * 0 /home/user/pihole/scripts/backup.sh

—

Mejores prácticas {#mejores-practicas}

Seguridad

Nunca expongas Pi-hole a Internet. Si necesitas acceso remoto, usa VPN.
Cambia el password por defecto: pihole -a -p
Mantén actualizado: pihole -up regularmente
Haz backups: Usa Teleporter (Settings > Teleporter)

Rendimiento

Usa SSD si es posible. Las tarjetas SD de Raspberry Pi se degradan.
IP estática obligatoria. Evita conflictos DHCP.
Limita el histórico. 7-30 días es suficiente.
Pocas listas grandes > muchas pequeñas.

Mantenimiento

BASH

# Actualizar Pi-hole
docker exec pihole pihole -up

# Actualizar listas
docker exec pihole pihole -g

# Backup (desde interfaz web)
# Settings > Teleporter > Export

Comandos útiles

Comando	Descripción
`pihole status`	Estado del servicio
`pihole -up`	Actualizar Pi-hole
`pihole -g`	Actualizar gravity (listas)
`pihole -t`	Tail log en tiempo real
`pihole -q dominio`	Buscar dominio en listas
`pihole enable`	Habilitar bloqueo
`pihole disable 5m`	Desactivar 5 minutos

—

Descargar ejemplos {#descargar}

Todos los archivos de configuración de esta guía están disponibles en mi repositorio de GitHub:

📦 https://github.com/ziruelen/learningaiagents/tree/main/homelab/pi-hole

Incluye:

docker-compose.yml – Configuración básica
docker-compose-unbound.yml – Con Unbound
configs/unbound.conf – Configuración de Unbound
scripts/install.sh – Instalación automática
scripts/backup.sh – Backup automático

—

Preguntas frecuentes {#faqs}

¿Pi-hole ralentiza mi conexión?

No. De hecho, la acelera. Al bloquear anuncios y trackers, hay menos contenido que descargar y las páginas cargan más rápido.

¿Puedo usar Pi-hole en un VPS?

Sí, pero con precaución. Si lo expones a Internet sin protección, puede ser usado para ataques DDoS (DNS amplification). Úsalo solo con VPN o firewall estricto.

¿Es legal usar Pi-hole?

Sí, completamente legal. Estás bloqueando contenido en TU red. Es como usar un ad-blocker, pero a nivel de red.

¿Cómo actualizo Pi-hole?

BASH

docker exec pihole pihole -up

O recrea el contenedor con la imagen más reciente:

BASH

docker compose pull && docker compose up -d

¿Pi-hole bloquea anuncios de YouTube?

Parcialmente. YouTube sirve anuncios desde los mismos dominios que el contenido, lo que dificulta el bloqueo sin romper los vídeos. Para YouTube, sigue siendo necesario un ad-blocker en el navegador.

¿Necesito una Raspberry Pi?

No. Pi-hole funciona en cualquier sistema que soporte Docker o Linux. El nombre viene de que originalmente fue diseñado para Raspberry Pi.

¿Qué son las listas de bloqueo?

Son listas de dominios conocidos por servir anuncios, trackers o malware. Pi-hole las descarga y las usa para saber qué bloquear.

¿Cómo accedo al panel desde fuera de mi red?

Configura una VPN (como WireGuard o Tailscale) para conectarte a tu red local. Nunca expongas Pi-hole directamente a Internet.

¿Puedo usar Pi-hole con mi propio servidor DNS?

Sí. Puedes configurar cualquier upstream DNS (Cloudflare, Google, Quad9) o usar Unbound para DNS recursivo privado.

¿Pi-hole funciona con IPv6?

Sí, pero la configuración es más compleja. Para la mayoría de usuarios domésticos, IPv4 es suficiente.

¿Cómo hago backup de Pi-hole?

Desde el panel: Settings > Teleporter > Export. Esto genera un archivo con toda tu configuración.

¿Pi-hole consume muchos recursos?

No. Típicamente usa ~100MB de RAM y CPU mínima. Puede correr en hardware muy modesto.

¿Puedo usar Pi-hole junto con un ad-blocker?

Sí, y es recomendable. Pi-hole bloquea a nivel de red; uBlock Origin bloquea lo que escape en el navegador. Son complementarios.

¿Cuál es la diferencia entre Pi-hole y AdGuard Home?

Ambos hacen lo mismo (bloqueo DNS), pero AdGuard Home tiene interfaz más moderna y soporte nativo para DNS cifrado. Pi-hole tiene comunidad más grande y más documentación.

¿Cómo desactivo Pi-hole temporalmente?

BASH

# Desactivar 5 minutos
docker exec pihole pihole disable 5m

# Desactivar indefinidamente
docker exec pihole pihole disable

# Reactivar
docker exec pihole pihole enable

—

Conclusión {#conclusion}

Pi-hole es una de las mejores mejoras que puedes hacer a tu homelab. Con menos de 10 minutos de configuración:

✅ Bloqueas anuncios en TODOS tus dispositivos

✅ Mejoras tu privacidad eliminando trackers

✅ Aceleras la navegación al no cargar basura

✅ Proteges tu red de dominios maliciosos

✅ Reduces el consumo de datos (especialmente en móvil)

Y si combinas Pi-hole con Unbound, consigues máxima privacidad: tus consultas DNS van directamente a los servidores raíz, sin intermediarios que puedan registrar tu actividad.

Lo que aprendiste en esta guía

Durante esta guía hemos cubierto todo lo necesario para tener Pi-hole funcionando como un profesional:

Instalación con Docker – La forma más limpia y portable de desplegar Pi-hole
Configuración del router – Para que toda tu red se beneficie automáticamente
Panel de administración – Control total sobre qué se bloquea y qué no
Listas de bloqueo – Las mejores fuentes para maximizar la protección
Unbound – DNS recursivo para máxima privacidad
Integración homelab – Cómo conectar Pi-hole con el resto de tu infraestructura
Seguridad – Proteger este servicio crítico
Troubleshooting – Soluciones a los problemas más comunes

Próximos pasos recomendados

Una vez tengas Pi-hole funcionando, considera estas mejoras adicionales:

Monitorización con Grafana – Visualiza estadísticas históricas
Alta disponibilidad – Segundo Pi-hole como backup
VPN con WireGuard – Usa Pi-hole desde cualquier lugar
Integración con Home Assistant – Automatiza basándote en estadísticas DNS

El impacto real

Después de unas semanas con Pi-hole, verás que tu dashboard muestra algo como:

40-50% de consultas bloqueadas (sí, casi la mitad de tu tráfico DNS es basura)
Miles de dominios en tu blacklist
Cientos de miles de consultas procesadas

Y lo mejor: todo esto funcionando en segundo plano, sin que tengas que pensar en ello. Tus dispositivos simplemente funcionan mejor.

¿A qué esperas? Tu homelab anti-anuncios te está esperando.

—

¿Dudas? ¿Problemas con la configuración?

Únete a nuestra comunidad en Discord donde resolvemos dudas y compartimos experiencias de homelab:

👉 https://discord.gg/HZXBmUyNCG