AdGuard Homeの仕組み:「通信の黒幕」を先回りして止める

通常のブラウザ拡張機能(uBlock Originなど)が「ダウンロードされたページから広告を非表示にする」のに対し、AdGuard Homeは「広告がダウンロードされる前に、接続そのものを遮断する」という方法をとっています。

これを実現しているのがDNSという仕組みのコントロールです。

インターネット上のWebサイトは、すべて「203.0.113.x」のような数字のIPアドレスで動いています。私たちが「google.com」のような分かりやすい名前(ドメイン)を入力したとき、それを数字の住所に変換してくれる案内人がDNSサーバーです。

AdGuard Homeは、家の中のネットワークでの「案内人」の役割を買って出ます。

広告が消える4ステップ

  1. リクエスト: スマホやPCがWebサイトを開こうとすると、ページ内に含まれる広告サーバー(例: ads.example.com)の住所をAdGuard Homeに問い合わせます。
  2. 照合: AdGuard Homeは、あらかじめ登録されている「広告ブロックリスト(ブラックリスト)」と、その問い合わせを照合します。
  3. 遮断: もしリストに載っている広告サーバーだったら、AdGuard Homeは正しい住所を教えず、「そんな住所はありません(NXDOMAIN)」と嘘の返事をします。
  4. 結果: スマホ側は広告のデータをダウンロードすることすらできなくなり、結果として広告が表示されなくなります。

もっと有り体に言うと:ルータ前に位置する『キング・クリムゾン』

本来、スマホやPCがWebサイトを開くときは、以下のような「過程」を踏んでいます。

  • 【通常の過程】
サイトを読み込む → 広告の存在に気づく → 広告サーバーにデータを貰いに行く → 広告が表示される

しかし、AdGuard Homeが介入すると、この時間が消し飛びます。

  • 【AdGuard Home発動】
サイトを読み込む → ×(通信を消し飛ばす)× → 広告の無い「結果」だけが画面に残る!

スマホやアプリからすれば、広告を取得しようとした認識すら残らず、気づいたときには「すでに広告が消滅した快適なページが開いている」という状態になります。

広告サーバー側から見れば、エピタフ(未来予知)で先回りされて、最初から攻撃(広告配信)を無効化されているようなものです。

これを入れるときのメモ

Ubuntu 26.04で実施しました。

注意点

これは、ホームネットワークのDNSを書き換えるための作業です

このヤバさが分からない方は、ここより先は読まない方が破滅から逃れられます。

公式インストーラーを実行します。

curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v

この後、rootパスワードが聞かれるのでそれを入力します。

Ubuntuはデフォルトで systemd-resolved という仕組みが53番ポート(DNS)を占有しています。

更に、AdGuardはDNSを「置き換えます」

これが罠でした。つまり、

  1. OSは「このドメインのIPアドレスは?」とDNSに問い合わせる。
  2. DNSサーバーは必要に応じて上流のDNSへ問い合わせを行う。
  3. 最終的に正しいIPアドレスが返され、通信先が決定される。

仕組みを取っています。

しかし、この、DNSが置き換えられた状態で自分のサイトのドメイン(hoge.example.com)をローカルアドレス127.0.0.1と登録してしまうと、家のネットワーク内にあるクライアントから

「hoge.example.comを探せ」と命令すると、「ああ、ローカルアドレスだね、127.0.0.1だよ」と返します。そうするとクライアントは「OK。127.0.0.1へ接続するんだ」と判断し、自分自身へ接続しようとします。

という、「終わりがないのが終わり」というレクイエムを喰らいます。特に、サーバ内に他のWebサイトを探していたりSSH接続でドメインを指定していると更に致命的です。

これを防ぐためのおまじないをかけておきます。

  • hostsファイルの書き換え
/etc/hosts

に、以下のように入力します。

# ローカルアドレス
127.0.0.1 localhost
# 自分のサーバのドメイン(自分の環境に合わせます)
192.168.1.5 hoge.example.com 
# サーバ内で運用している別サイトのドメイン
192.168.1.5 site.example.com

というのも、Linuxでは通常、DNSより先にhostsファイルが参照されます。

厳密には名前解決順序はNSS設定に従いますが、Ubuntuの標準構成ではhostsが先に評価されるため、サーバ自身のドメインをここへ記載しておくことで名前解決の事故を避けられます。

ざっくり言うと、まず hosts が参照され、見つからなければ設定されたDNSへ問い合わせが進みます。

なので、これをやっておかないと「サービスを起動した瞬間にSSHからはじき出される」状態も起こり得ます。

  • AdGuard Home用の設定ディレクトリを作成します。
sudo mkdir -p /etc/systemd/resolved.conf.d
  • 競合を避けるための設定ファイルを管理者権限で作成します。
/etc/systemd/resolved.conf.d/adguardhome.conf
[Resolve]
DNS=127.0.0.1
DNSStubListener=no

/etc/resolv.conf の確認

AdGuard Homeを導入した後は、OSが参照するDNSサーバーが正しく設定されているか確認します。

cat /etc/resolv.conf

私の環境では以下のようになりました。

nameserver 127.0.0.1
nameserver 8.8.8.8
nameserver 1.1.1.1
search .

ただし、このファイルは systemd-resolved や NetworkManager によって自動生成される場合があります。

環境によっては直接編集しても再起動時に上書きされるため、設定変更を行う場合は現在の管理方法を確認してから作業してください。

注意点

  • 「お前が最初に見に行くDNSはこれだ!」を決める、Linuxにおける神像のようなファイルです。
  • ワンミス即死があり得ます。
  • そのため、筆者が推奨するバックアップのやりかたは敢えて省いています。

「なあに 心配するな しくじってもたかが死ぬだけよ」

ぐらいの精神で、「自分がネットワークに接続できなくなる」の精神を持ちましょう。

ブラウザから初期設定を行う

ここがApacheが入っている環境での重要なポイントです。

  1. 同じネットワーク内のPCのブラウザから、http://[UbuntuのIPアドレス]:3000 にアクセスします。
  2. 設定ウィザードが始まります。

設定時の重要チェックポイント

  • 管理インターフェース(管理画面のポート)
  • デフォルトでは 80 になっていますが、絶対に 80 のまま進めないでください(すでにApacheが80番ポートを使っているため衝突します)。
  • ここでは一旦、80803000 など、Apacheが使っていない別のポートを指定してください。
  • DNSサーバー(DNSのポート)
  • こちらは 53 番ポートのままでOKです。
  1. ユーザー名とパスワードを設定し、ウィザードを完了させます。

これで無事にAdGuard Homeが起動し、指定したポート(例: http://[UbuntuのIPアドレス]:8080)で管理画面にログインできる状態になりました。

これから

  1. この管理画面の常時SSL化
  2. 肝心要のAdGuardの使い方
  3. そこで詰まった所

などは改めて書きます