Pi-hole คืออะไร? คู่มือ DNS Sinkhole บล็อกโฆษณาและมัลแวร์ระดับ Network สำหรับ SME ไทย 2026

# Pi-hole คืออะไร? คู่มือ DNS Sinkhole บล็อกโฆษณาและมัลแวร์ระดับ Network สำหรับ SME ไทย 2026

ในยุคที่พนักงานในออฟฟิศใช้อินเทอร์เน็ตทุกเรื่อง ตั้งแต่งานหลักไปจนถึงการเปิดเว็บข่าวพร้อม Tracker นับสิบตัว ปัญหาที่ตามมาคือ Bandwidth ถูกใช้กับโฆษณาและสคริปต์ติดตามมากกว่าเนื้อหาจริง รวมถึงมัลแวร์ที่อาศัยช่องทาง DNS เพื่อเข้าถึงเครื่องในเครือข่าย

Pi-hole คือทางออกที่ติดตั้งง่าย ฟรี และทรงพลัง ทำหน้าที่เป็น DNS Sinkhole ระดับ Network ที่บล็อกโฆษณา Trackers และ Domain อันตราย "ก่อน" ที่อุปกรณ์จะเข้าถึง โดยไม่ต้องลง Software ที่เครื่องลูกข่ายใดๆ ทำงานบน Raspberry Pi เพียง 1 ตัว หรือ Docker Container ก็ครอบคลุมทั้งสำนักงาน

บทความนี้จะแนะนำ SME ไทยให้รู้จัก Pi-hole ตั้งแต่หลักการทำงาน วิธีติดตั้ง การปรับแต่งสำหรับองค์กร และเปรียบเทียบกับ AdGuard Home คู่แข่งสำคัญ พร้อมเทคนิคเพิ่ม DNS-over-HTTPS เพื่อความเป็นส่วนตัวของข้อมูล Query DNS

Pi-hole คืออะไร และทำงานอย่างไร

Pi-hole คือ Open-Source DNS Resolver ที่กรอง Domain Request ตาม Blocklists ที่ผู้ใช้กำหนด เมื่ออุปกรณ์ใน LAN ถาม DNS ไปที่ Pi-hole หาก Domain นั้นอยู่ในรายการบล็อก Pi-hole จะตอบกลับด้วย IP "0.0.0.0" หรือ "NXDOMAIN" ทำให้เบราว์เซอร์โหลดโฆษณาไม่ขึ้นทันที

| องค์ประกอบ | หน้าที่ |

|------------|---------|

| FTL Engine | DNS Resolver หลักของ Pi-hole (Faster Than Light) |

| Web Admin | UI ใช้จัดการ Blocklist, Whitelist, Statistics |

| dnsmasq | Backend DNS Forwarder ที่ FTL ใช้งาน |

| Gravity DB | ฐานข้อมูล Blocklist รวมจากแหล่งสาธารณะ |

| Query Log | บันทึก DNS Query ทั้งหมดเพื่อวิเคราะห์ |

ความฉลาดของ Pi-hole อยู่ที่การทำงานที่ Layer DNS ซึ่งครอบคลุมทุกแอปพลิเคชันไม่ว่าจะเป็น Browser, Mobile App, Smart TV หรือ IoT Device ทำให้บล็อกโฆษณาในแอปที่ Adblock Extension ทำไม่ได้

ประโยชน์สำหรับ SME ไทย

How-to: ติดตั้ง Pi-hole ใน 4 ขั้นตอน

ขั้นที่ 1: เตรียม Hardware หรือ Container

ตัวเลือกแนะนำสำหรับ SME ไทย: Raspberry Pi 4 (4GB) สำหรับสำนักงานต่ำกว่า 50 เครื่อง, Raspberry Pi 5 (8GB) สำหรับ 50-200 เครื่อง หรือใช้ Docker Container บน Server เดิมที่มีอยู่ก็ได้

ขั้นที่ 2: ติดตั้ง Pi-hole

รัน One-line Installer บน Linux:

```

curl -sSL https://install.pi-hole.net | bash

```

หรือใช้ Docker Compose ตามตัวอย่าง:

```yaml

services:

pihole:

image: pihole/pihole:latest

ports:

environment:

TZ: "Asia/Bangkok"

WEBPASSWORD: "your-strong-password"

volumes:

restart: unless-stopped

```

ขั้นที่ 3: ตั้ง Pi-hole เป็น DNS หลักของ Network

เข้า Router/Firewall ของออฟฟิศ ตั้งค่า DHCP DNS Server เป็น IP ของ Pi-hole (เช่น 192.168.1.10) เพียงเท่านี้ทุกอุปกรณ์ที่เชื่อมต่อ Wi-Fi/LAN จะใช้ Pi-hole อัตโนมัติ ไม่ต้องตั้งค่าทีละเครื่อง

ขั้นที่ 4: เพิ่ม Blocklist และตั้ง Whitelist

แนะนำเพิ่ม Blocklist ยอดนิยม เช่น StevenBlack/hosts (รวม Ads + Malware), OISD Big List, Hagezi Multi PRO และเพิ่ม Whitelist สำหรับ Domain ที่ใช้งานทางธุรกิจ เช่น Google Ads Manager (หากต้อง Login จัดการเอง), Meta Business, Microsoft Telemetry บางส่วน

เปรียบเทียบ Pi-hole vs AdGuard Home

| คุณสมบัติ | Pi-hole | AdGuard Home |

|-----------|---------|--------------|

| License | EUPL-1.2 (Open-Source) | GPL-3.0 (Open-Source) |

| OS | Linux เป็นหลัก | Multi-platform (Linux, Win, macOS) |

| DNS-over-HTTPS / TLS | ต้องติดตั้งเสริม cloudflared/unbound | Built-in รองรับโดยตรง |

| Parental Control | ผ่าน Group Management | Built-in Per-Client Rule |

| UI / UX | คลาสสิก ข้อมูลแน่น | Modern, ใช้งานง่ายกว่า |

| Update Blocklist | Manual + Cron | Auto Update ในตัว |

| ชุมชน | ใหญ่กว่ามาก, Plugin เยอะ | กำลังเติบโต |

โดยสรุป Pi-hole เหมาะกับองค์กรที่ต้องการความยืดหยุ่นและชุมชนใหญ่ ส่วน AdGuard Home เหมาะกับผู้เริ่มต้นและคนที่ต้องการ DoH/DoT แบบ out-of-the-box

เพิ่มความปลอดภัย: DNS-over-HTTPS (DoH)

ปัญหาของ DNS แบบดั้งเดิมคือ Query ส่งเป็น Plain Text ทำให้ ISP เห็นทุก Domain ที่ Resolve การเสริม DoH ด้วย `cloudflared` จะเข้ารหัส Query ทั้งหมดผ่าน HTTPS ดังนี้:

1. ติดตั้ง `cloudflared` บนเครื่องเดียวกับ Pi-hole

2. ตั้งให้ Listen ที่ port 5053 และ Forward ไปที่ Cloudflare/Quad9

3. ใน Pi-hole Settings เปลี่ยน Upstream DNS เป็น `127.0.0.1#5053`

4. ทดสอบที่ `https://1.1.1.1/help` ต้องเห็นข้อความ "Using DNS over HTTPS (DoH): Yes"

ทำให้พนักงานในออฟฟิศได้ทั้งบล็อกโฆษณาและความเป็นส่วนตัวของข้อมูล DNS Query ในเวลาเดียวกัน

ข้อควรระวังในการใช้งาน

ก่อนเปิดใช้ในระดับ Production ต้องเข้าใจว่า Pi-hole เป็น Single Point of Failure: หาก Pi-hole ดับ DNS ทั้งออฟฟิศจะใช้งานไม่ได้ ทางแก้คือตั้ง Pi-hole 2 ตัว Sync ด้วย Gravity-Sync หรือ Docker Replica และตั้ง Secondary DNS บน Router เป็นตัวสำรอง นอกจากนี้ Blocklist ที่ Aggressive เกินไปอาจ Block แอปบางตัวที่ใช้งานจริง เช่น LINE OA Push, Banking App ดังนั้นต้องทยอยเปิด Blocklist ทีละชุดและ Monitor Query Log อย่างน้อย 1 สัปดาห์ก่อน Roll-out

สรุปและขั้นตอนถัดไป

Pi-hole เป็นเครื่องมือ Network-Wide AdBlock ที่คุ้มค่ามากสำหรับ SME ไทย ใช้ Hardware ราคาไม่กี่พันบาทแต่ป้องกันได้ทั้งโฆษณา Trackers และ Malware ระดับ Domain พร้อมเสริม DoH ให้ Privacy ระดับองค์กร

Key Takeaways: Pi-hole ทำงานที่ Layer DNS ครอบคลุมทุกอุปกรณ์, ติดตั้งง่ายภายใน 30 นาทีบน Raspberry Pi หรือ Docker, ควรตั้ง 2 ตัวเพื่อ HA, ผสาน DoH ผ่าน cloudflared เพื่อ Privacy และตรวจ Whitelist อย่างสม่ำเสมอเพื่อไม่ให้กระทบงานปกติ

หากต้องการที่ปรึกษาช่วย Deploy Pi-hole + DoH + HA Setup ในออฟฟิศของคุณ ทีม ADS FIT พร้อมช่วยวางระบบความปลอดภัยเครือข่ายแบบครบวงจร [ติดต่อทีมงาน](https://www.adsfit.co.th/#contact) หรือดูบทความ Network & Security เพิ่มเติมที่ [Blog ADS FIT](https://www.adsfit.co.th/blog)