Ništa od client side podešavanja DNS-a nije dobro rešenje jer sve više aplikacija koristi QUIC protocol, a onda kroz njega radi DoT/DoH i na taj način u potpunosti zaobilazi client side settings.
Pravo rešenje za DNS su OPNSense, OpenWRT, pfSense ili MikroTik koji mogu da blokiraju QUIC protokol i na taj način forsiraju sve aplikacije da urade fallback na UDP protocol na port 53. A onda lokalni unbound ili DNSMASQ mogu da odrade DNSBL ako je potrebno, i da iniciraju sopstveni DoH/DoT ka upstream DNS serveru po vašem izboru.
Evo primera kod mene za WiFi uređaje.
Prvo ide inverted port forwarding rule koji će svaki DNS request uputiti na local resolve.
Pogledajte prilog 478629
Nakon toga se na WiFi interfejsu napravi firewall pravilo koje će blokirati QUIC (UDP portovi: 80, 443, 853, 5353).
Pogledajte prilog 478634
A onda se napravi 3 firewall pravila od kojih će prvi odraditi redirect na localhost, drugi će odraditi redirect na sam firewall (Unbound), a treći će blokirati bilo kakav drugi tip DNS requesta.
Pogledajte prilog 478631
Nakon toga se DNS Resolver podesi da radi u forwarder režimu sa uključenom enkripcijom.
Pogledajte prilog 478635
I napokon, se podesi upstream DNS koji je u mom slučaju Quad9.
Pogledajte prilog 478636
Rezultat je sopstveni enkriptovani localni DNS over TLS server koji lokalno i brzo filtrira sav DNS saobraćaj. Ovaj DNS je nevidljiv i za internet provajdera i za VPN provajdera i ni jedan klijent ili aplikacija ne mogu da ga zaobiđu.
Pogledajte prilog 478637