Исправление Aber, (текущая версия) :
Можно было бы снифить запросы к DNS (на 53 порт) которые проходят через твой шлюз, там ничего не шифрованно.
Ответы от DNS серверов можно кешировать, в том числе вносить IP в разрешенные. Для каждого пользователя такие списки лучше делать раздельными.
Пострадают только параноики которые форсировали DNS over TLS без fallback на обычный протокол. Может ошибаюсь.
Исходная версия Aber, :
Можно было бы снифить запросы к DNS (на 53 порт) которые проходят через твой шлюз, там ничего не шифрованно.
Ответы ответы от DNS серверов можно кешировать, в том числе вносить IP в разрешенные. Для каждого пользователя такие списки лучше делать раздельными.
Пострадают только параноики которые форсировали DNS over TLS без fallback на обычный протокол. Может ошибаюсь.