Eleganteste Weg zum netzwerkweiten IP-Blocking

Was ist Eurer Meinung nach die eleganteste Lösung um netzwerkweit IPs zu blocken.

Durchschnittshaushalt:
Router/FritzBox, Geräte im LAN, Mobile Devices per Wireguard im LAN

Meine Meinung:
Netzwerkweit: OPNSense
Lokal (Windoof): Portmaster oder Simplewall

Ob Fritz!Box das kann, weiß ich nicht. Du benötigst eben eine Firewall, die du so konfigurieren kannst wie du willst. OPNSense bspw. kann dies. Mittels Script ziehe ich mir bspw. die Google IPs und blockiere diese.

muss der Block auf IP sein oder geht auch via DNS? Dann käme auch ein pi-hole oder z.B. NextDNS in Frage. Einen aktuellen Überblick ähnlicher Anbieter habe ich leider nicht.

IPs - wie geschrieben

An freien Lösungen fällt mir nur openWRT oder eine XSense ein.

Für openWRT kann ich Dir jetzt aber nicht sagen, ob IP Blocklisten importiert werden können. Vorteil wäre hier, daß eine Fritzbox 4040 als Hardware reichen würde, was günstiger ist, als ein PI.

Die XSensen sind in meinen Augen schöner zu konfigurieren als openWRT und können das ganz sicher. Ob jetzt OPNsense oder PFsense zum Einsatz kommt ist Geschmackssache. Ich hatte mich für OPNsense entschieden. Hardware läuft entweder auf einen kleinen China-Kracher raus oder alte PC-Hardware. Ich bin auch damit deutlich unter 10 Watt. Switch, WiFi-Access-Point und DSL Modem kommen noch oben drauf. Wenn Du auch Telefonie brauchst kannst Du die FritzBox vor oder hinter der Sense einsetzen. Je nach Nutzung könnte der Switch auch eingespart werden. FB vor der Sense ist wegen IPv6 „etwas unglücklich“, weil sich die FB recht viel vom Subnetz krallt.

So richtig filtern funktioniert eben nur mit einer Firewall. In sofern war schon alles vor meinem Post beantwortet.