Hallo,
ich hatte mich ja schon an anderer Stelle hier im Forum als absoluten Anfänger betreffs GrapheneOS, der bis jetzt noch nicht im Besitz bzw. Nutzung eines diesbezüglichen Smartphones ist, geoutet.
Aber vielleicht kann ich doch einmal meinen hilfreichen „Senf“ dazugeben!?
Wir in meiner Familie benutzen auf allen Geräten außer auf einem Linux grundsätzlich die Adguard-App. Sie ist sowohl für iOS als auch für Android verfügbar. Einstellungen sind bei Android exportierbar und natürlich auch importierbar, was die Einrichtung auf mehreren betreuten Geräten doch um etwas erleichtert. Bei Benutzung von Adguard entfällt dann auch die Betrachtung, ob man nun gerade im heimischen WLan oder außerhalb mit mobilen Daten unterwegs ist.
Meine Überlegungen gingen vor geraumer Zeit auch hin zu einer PiHole. Aber ich habe als Laie bis heute noch keine Möglichkeit gefunden, den PiHole mit einem PYUR-Router zu kombinieren, leider. Deshalb unsere Entscheidung für Adguard. Natürlich kostet die Lizenz etwas, aber zu bestimmten Zeitpunkten gibt es Rabatte und dann sieht so eine lebenslange Variante schon günstiger aus.
Was genau?
Wenn du damit „Provider“ meinst (Telekom, Vodafone, …), dann kann das durchaus sein, dass die das nicht toll finden. Aber können sie es einem verbieten? 
Ich nutze meinen Pi-hole auch nur per VPN, d.h. da ist zuhause oder auf meinem Cloudserver kein DNS-Port exponiert und für jeden zugänglich.
Ich meinte Hetzner und co.
Wenn Hetzner etwas gegen offene Ports hätte könnten sie den Laden dicht machen. Wie sollen denn sonst Server öffentlich erreicht werden können?
Wenn man es selber oder du @jm1982 es nicht magst, dann hilft ein VPN.
Siehe Brauchst du wirklich ein VPN?
Ein vertrauenswürdiges VPN kann in folgenden Fällen nützlich sein:
- Verbesserung der Sicherheit in unsicheren/nicht vertrauenswürdigen öffentlichen Netzwerken (Cafés, Züge etc.) durch Prävention von Man-in-the-Middle-Angriffen
- Umgehung von Zensur oder geografischen Sperren (Geoblocking) von Websites und Inhalten
- Verschlüsselung der Kommunikation, damit der Internet- oder Mobilfunkanbieter die Online-Aktivitäten nicht überwachen oder aufzeichnen kann
- Verschlüsselung der DNS-Anfragen, damit der Internet- oder Mobilfunkbetreiber die besuchten Domains nicht protokollieren kann
- Verstecken/Maskieren der IP-Adresse vor den besuchten Websites und Servern
- Getunnelte Verbindung nach Hause und/oder zum Arbeitgeber, um auf Dienste zuzugreifen, die nicht direkt über das Internet erreichbar sind
Ansonsten hat @Chief völlig Recht - warum sollte ein „Public Cloud“ Anbieter was dagegen haben, wenn man dort seine Dienste öffentlich zugänglich macht? Öffentlich kann ja auch bedeuten „von überall“, aber mit Zugriffsschutz / Authentifizierung (für z.B. seine private Bilder-Gallery, Nextcloud, …) 
Ich habe mir vor zwei Jahren bei Strato für 12€/Jahr so einen kleine Linux-VM gemietet und darauf Pihole installiert. Läuft ganz gut, ist aber mit Aufwand verbunden. Mit fail2ban habe ich z.B. die erlaubten IPs eingehegt, um das ganze Geschmeis ins Nirwana zu schicken. Könnte man auch mit Adguard Home machen…
Ende diesen Monats läuft das jetzt aus, da mit NextDNS kein Bedarf mehr besteht, warf aber eine interessante Erfahrung…
Zu dem Thema Ports öffnen: man sollte keinen DNS Server Public betreiben, wenn man diese nicht ausreichend schützen kann. Damit riskiert man einen DNS Amplification Attack.
Mehr Info gibts hier https://snapshot.internetx.com/en/the-most-common-dns-attack-methods/
Ich habe mittlerweile persönlich so ziemlich jedes Tool ausprobiert (pihole, adguard, nextdnd, etc)
Ich bin tatsächlich bei controld hängen geblieben. Entwicklung läuft weiterhin voran und ich hab kein Problem, wenn daheim mal das Internet Tod ist.
Und die hat bei dir „funktioniert“? Ich hatte das auch mal getestet, aber noch am selben Tag den Versuch abgebrochen, weil ich mehr als unzufrieden damit war.
Due machst mir Mut das auf meinem 1€-Ionos-VPS auszuprobieren. Wie viel Memory hat Dein kleiner?
Siehste im Screenshot oben links 512MB,kein Swap. Die 10GB sind SSD, aber man darf bei dem Preis (kein) Virtual Memory auf SSD anlegen.
Der neue VC 1-1 V-Server auf KVM hat jetzt aber 1GB Ram
https://www.strato.de/server/linux-vserver/
Zertifikate habe ich nicht von Strato, sondern mit automat. Verlängerung kostenlos über letsencrypt
Da bekommt man bei Oracle mehr. Und zwar dauerhaft kostenlos. Mit 512MB und ohne Swap funktionieren auf manchen Betriebssystemen nicht mal Updates.
Hast du dich bewusst für NextDNS entschieden ? Gibt ja noch AdguardDNS und ControlD. Bieten zumindest aktuellere Blocklisten und ControlD noch ein paar Funktionen mehr.
War eine bewusste Entscheidung. Aktuelle Blocklisten u.a. von Adguard und HaGezi etc. sind ja vorhanden und werden auch aktualisiert. Auch sehr ausfallsicher, hatte bisher zu Hause noch kein Fallback auf Pihole.
OK nutzte ich früher auch, bin jetzt aber bei AdguardDNS da sie die Blocklisten aktuell halten. Bei NextDNS hat man ja leider immer noch viele sehr alte listen die schon Jahre lanh nicht mehr gepflegt werden.
Hallo, da ich zur Zielgruppe gehöre, frage ich mal; Wie macht man das mit der Firewall hinter dem Router? Kommt es auf das Fabrikat an? Muss zusätzlich Hardware besorgt werden? Danke f. Antworten vorab. LG
Jeder anständige handelsübliche SoHo-Router enthält bereits eine Firewall für Anfragen aus dem Internet. Jedes normale Linux-System (zumindest die Servervarianten) hört sowieso nur auf Ports von explizit konfigurierten Diensten. Musst schon etwas paranoid sein oder Angreifer im lokalen Netz vermuten, wenn Dir das nicht reicht. Bei Angreifern im lokalen Netz bzw. in Deinen Räumen hilft aber auch die Firewall nicht wirklich.
Ähm - “….das mir nicht reicht?..” habe ich nicht geäußert und Paranoid bin ich nicht. Denke du meinst das allgemein…ja, sehe ich genau so. Nur leider ist meine Frage nicht beantwortet, bzw. verstehe ich das nicht so recht. was meint @schnedan mit “hiter den Router setzten, also wäre nach meinem V. keine FW im Router?…ich nutzte einen gestellten Router vom Kabelanbieter.
eine Vodafone-Station? Die hat auch eine Firewall, und die Blockaden von Port 80, 443 und weiteren Ports kann man gar nicht ausschalten.
Ansonsten: frag den Autor was er warum für sinnvoll hält. Ich wundere mich hier auch immer wieder, dass bestimmte Dinge „zwingend“ gefordert werden, die auf meiner Dringlichkeitsliste ganz weit unten stehen.