Ich fange mal mit der letzten Frage an
Was bekannt worden? Dass „Prozesse […] eigene DNS querys an Google senden“? Hier fehlt immer noch ein Beleg.
Da steht nichts von DNS.
Ich muss mich übrigens korrigieren. Dass unverschlüsseltes DNS an Google sendet, ist mir nicht bekannt. Nur dass es die VPN DNS Server Einstellungen manchmal ignoriert.
Ging vorher auch schon für unverschlüsseltes DNS über WLAN. Nur mobile Daten konnte man nicht einstellen.
Also ist „systemweit“ gleichzusetzen mit Private DNS? Wo kann man das noch einstellen? („auch“ im Zitat)
Habe ich nicht behauptet. Private DNS benötigt unverschlüsseltes DNS für die Auflösung der eigenen Domain. Das sollte dann eigentlich genügen. Ob es so ist, weiß ich nicht.
Z.B. indem Du Pakete mit iptables (NF)LOG Target loggst. Anhaltspunkt z.B. hier.
# !!! ATTENTION: adapt next rule if according to the rule found within afwall-reject !!!
$IPTABLES -A afwall-custom-drop -m limit --limit 1000/min -j LOG --log-prefix "{AFL}" --log-tcp-options --log-ip-options --log-uid