Solucionar DNS com AdGuard Home no Debian 12 e bloquear anúncios

10 min de leitura  ·  Guia técnico

AdGuard Home é um servidor DNS com filtragem que bloqueia anúncios e rastreadores no nível da rede, antes que eles cheguem a qualquer dispositivo. Para instalar e configurar o AdGuard Home no Debian 12 e usá-lo como seu resolver de DNS, siga estes passos:

1. Atualize o Debian 12 e libere a porta 53 ocupada pelo systemd-resolved.
2. Baixe e execute o script oficial de instalação do AdGuard Home.
3. Acesse a interface web na porta 3000 e conclua o assistente inicial.
4. Defina as portas de DNS (53) e de administração (por exemplo, 8080).
5. Adicione listas de bloqueio e ative upstream DNS criptografado.
6. Aponte os dispositivos da rede para o IP do servidor e valide o bloqueio.

Pré-requisitos para configurar o DNS AdGuard Home no Debian 12

• VPS ou servidor com Debian 12 (Bookworm) atualizado e acesso root via SSH.
• Pelo menos 512 MB de RAM e 1 GB de espaço livre (o serviço é leve).
• Endereço IP fixo na rede local ou IP público do VPS.
• Portas 53/udp, 53/tcp e a porta de administração liberadas no firewall.
• Conhecimento básico de linha de comando — se ainda não acessou o seu servidor, veja Acessando servidores VPS Linux da AviraHost.

Como instalar o AdGuard Home no Debian 12 e liberar a porta 53

O primeiro obstáculo em qualquer servidor DNS no Debian é o serviço systemd-resolved, que mantém a porta 53 ocupada por padrão. Sem liberá-la, o AdGuard Home não conseguirá escutar requisições. Comece atualizando os pacotes do sistema:

sudo apt update && sudo apt upgrade -y

Verifique qual processo está usando a porta 53:

sudo ss -tulpn | grep ':53'

udp  UNCONN  0  0  127.0.0.53%lo:53  0.0.0.0:*  users:(("systemd-resolve",pid=412,fd=12))

Para desativar o listener do systemd-resolved sem perder a resolução de nomes do próprio servidor, edite o arquivo de configuração:

sudo nano /etc/systemd/resolved.conf

Descomente e ajuste estas duas linhas:

DNSStubListener=no
DNS=1.1.1.1

Em seguida, recrie o link do resolv.conf e reinicie o serviço:

sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
sudo systemctl restart systemd-resolved

Agora a porta 53 está livre. Baixe e execute o instalador oficial:

curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sudo sh -s -- -v

AdGuard Home is now installed and running.
You can control the service status with the following commands:
  sudo /opt/AdGuardHome/AdGuardHome -s start|stop|restart|status
AdGuard Home is now available at the following addresses:
  http://127.0.0.1:3000

O script instala o binário em /opt/AdGuardHome e registra um serviço systemd que inicia automaticamente no boot.

Configurar a interface web e o servidor DNS de bloqueio

A etapa de filtragem de anúncios começa no assistente web. Abra o navegador e acesse http://IP-DO-SERVIDOR:3000. Caso esteja em um VPS público, libere temporariamente essa porta no firewall ou crie um túnel SSH para acessá-la com segurança.

No assistente inicial, defina:

1. Interface de administração: mantenha em todas as interfaces, mas mude a porta para 8080 para evitar conflito com servidores web.
2. Servidor DNS: escolha a interface 0.0.0.0 na porta 53, para escutar todas as requisições.
3. Usuário e senha de administração — use uma senha forte, já que esse painel controla toda a resolução de nomes.

Após concluir, o painel principal exibe estatísticas em tempo real de consultas DNS, percentual bloqueado e domínios mais acessados. Faça login novamente em http://IP-DO-SERVIDOR:8080.

Para testar imediatamente se o resolver responde, use o dig a partir de outra máquina:

dig @IP-DO-SERVIDOR exemplo.com.br +short

93.184.216.34

Adicionar listas de filtros e DNS criptografado contra rastreadores

A eficácia do bloqueio de propaganda depende das listas de filtros. Vá em Filtros > Listas de bloqueio DNS. O AdGuard Home já vem com a lista padrão AdGuard DNS filter, mas você pode incluir outras conhecidas, como a AdAway e listas anti-rastreamento. Clique em Adicionar lista de bloqueio e escolha das listas pré-aprovadas ou cole a URL de uma lista personalizada.

Defina o intervalo de atualização automática para 24 horas, garantindo que novas regras de bloqueio sejam aplicadas sem intervenção manual. Em Configurações > Configurações de DNS, configure os servidores upstream com criptografia para impedir que provedores enxerguem suas consultas. Use DNS-over-HTTPS, por exemplo:

https://dns.cloudflare.com/dns-query
https://dns.quad9.net/dns-query

Ative também o DNSSEC na mesma tela para validar a autenticidade das respostas. Esses recursos vêm nativos no AdGuard Home, sem necessidade de plugins externos. Se você administra a zona do seu próprio domínio, vale revisar o guia de DNS personalizado da AviraHost para manter coerência entre o resolver interno e os registros externos.

Proteger o servidor DNS com firewall no Debian 12

Expor a porta 53 para a internet inteira transforma o servidor em um resolver recursivo aberto, alvo de ataques de amplificação. Restrinja o acesso apenas aos IPs autorizados. Com o UFW:

sudo ufw allow from 192.168.0.0/24 to any port 53 proto udp
sudo ufw allow from 192.168.0.0/24 to any port 53 proto tcp
sudo ufw allow 8080/tcp
sudo ufw enable

Atenção: antes de ativar o UFW em um VPS remoto, garanta que a porta SSH (22) esteja liberada, ou você perderá o acesso ao servidor. Se preferir o nftables, consulte o manual do nftables no Debian 12 para regras equivalentes. Ajuste o range 192.168.0.0/24 para a sua sub-rede real.

Problemas comuns e como resolver

Sintoma: o AdGuard Home não inicia e a porta 53 aparece como ocupada

Causa: o systemd-resolved ainda está escutando na porta 53.
Solução: confirme que DNSStubListener=no está aplicado em /etc/systemd/resolved.conf, reinicie o serviço com sudo systemctl restart systemd-resolved e valide com sudo ss -tulpn | grep ':53'. A saída não deve mais mostrar o systemd-resolve.

Sintoma: dispositivos não resolvem nomes após apontar para o servidor

Causa: firewall bloqueando a porta 53 ou IP errado configurado no cliente.
Solução: teste com dig @IP-DO-SERVIDOR google.com a partir do dispositivo. Se houver timeout, revise as regras de firewall e confirme que o AdGuard Home está com status running usando sudo /opt/AdGuardHome/AdGuardHome -s status.

Sintoma: anúncios continuam aparecendo em alguns sites

Causa: anúncios servidos pelo mesmo domínio do conteúdo, que o DNS não consegue separar.
Solução: o bloqueio por DNS é eficaz contra domínios de redes de anúncios, mas não filtra propaganda entregue pelo próprio domínio do site (como anúncios nativos). Adicione listas de filtros complementares e confirme que o dispositivo realmente usa o AdGuard como DNS, sem servidores secundários configurados.

Perguntas frequentes sobre AdGuard Home no Debian 12

O AdGuard Home bloqueia anúncios dentro de aplicativos no celular?

Sim, desde que o dispositivo use o AdGuard Home como servidor DNS. Como o bloqueio acontece no nível do DNS, ele afeta qualquer aplicativo que faça resoluções de nomes, incluindo apps de celular, smart TVs e consoles. A exceção são anúncios entregues pelo mesmo domínio do conteúdo, que o DNS não consegue separar.

Qual a diferença entre AdGuard Home e Pi-hole?

Ambos atuam como servidor DNS com bloqueio de anúncios, mas o AdGuard Home traz DNS-over-HTTPS, DNS-over-TLS e DNSSEC nativos sem plugins extras, além de uma interface de administração mais completa. O Pi-hole depende de configuração manual adicional para esses recursos de criptografia.

Posso usar o AdGuard Home em um VPS público sem virar um DNS aberto?

Pode, desde que você restrinja o acesso por firewall (UFW ou nftables) apenas aos IPs autorizados ou use autenticação por DNS criptografado. Deixar a porta 53 aberta para a internet inteira transforma o servidor em um resolver recursivo aberto, que pode ser abusado em ataques de amplificação DNS.

O AdGuard Home funciona como servidor DHCP também?

Sim, ele inclui um servidor DHCP opcional que permite distribuir automaticamente o próprio IP do AdGuard como DNS para todos os dispositivos da rede. Isso elimina a necessidade de configurar cada cliente manualmente, mas só deve ser ativado se você desativar o DHCP do roteador para evitar conflito.

Como atualizo as listas de bloqueio do AdGuard Home automaticamente?

As listas de filtros têm atualização automática configurável na interface web, em Filtros > Listas de bloqueio DNS, onde você define o intervalo (por exemplo, a cada 24 horas). O próprio AdGuard Home baixa e aplica as novas regras sem reiniciar o serviço.

Conclusão

• Libere a porta 53 desativando o DNSStubListener do systemd-resolved antes de instalar o AdGuard Home.
• Ative DNS-over-HTTPS e DNSSEC com listas de filtros atualizadas a cada 24 horas para máximo bloqueio de anúncios e rastreadores.
• Proteja sempre a porta 53 com firewall restrito por IP para não criar um resolver DNS aberto.

Leia também

• Manual do nftables no Debian 12: do zero ao funcionando
• Configurar Fail2Ban no Debian 12: logs, regras e alertas
• solucionar blacklist de IP: descobrir lista e sair

Precisa de ajuda com servidor DNS e bloqueio de anúncios?

Um VPS estável com IP dedicado e portas liberadas é a base ideal para rodar o AdGuard Home como resolver da sua rede. A AviraHost oferece servidores Debian prontos para esse tipo de configuração.

Conheça os planos de VPS da AviraHost