Hallo,

ist interessant.

Aber es arbeitet auf Layer 2-3. Das verhindert also nicht, dass z.B. eine Smartfon-App per HTTP-Post ("AJAX") aus dem LAN gegrabbte Daten an irgendeine Domain sendet, die von der App vorher ganz normal per Request angefragt wurde.

doch, in der Regel schon: Wenn pi-hole in seiner Rolle als DNS die Auflösung des Domainnamens verweigert, weil er in der Blacklist oder nicht in der Whitelist steht (je nach eingestellter Basisparanoia), dann hat die App kein Ziel, an das sie ihre Daten senden kann.
Es sei denn, sie verwendet direkt die IP-Adresse zur Kontaktaufnahme und nicht den Hostnamen.

Wie das mit dem Blockieren des Internet-Zugriffs basierend auf der MAC-Adresse funktioniert, was mein Kollege berichtet hat, verstehe ich aber auch noch nicht. Das wäre ja dann eine klassische Firewall-Funktion.

Was pi-hole unter der Haube verwendet, nämlich dnsmasq (oder eine Variante davon), läuft bei mir übrigens auch. Mit einer langen Liste von bekannten Ad-Servern, die alle zu 127.0.0.1 aufgelöst werden. Deswegen sind bei mir die meisten Webseiten nahezu werbefrei, ohne dass ich das jedem Browser extra beibringen muss.

Ob Google und Apple wirklich alle Apps bis in die Tiefe kontrollieren, die sie auf ihren Stores anbieten?

Garantiert nicht.

Warum der Apfel angebissen ist, weißt Du? Das ist der erste Schritt zur Vertreibung aus dem Paradies! :-p

Schöne Erklärung. Und nein, ich will kein angebissenes Obst!

Live long and pros healthy,
 Martin