Tok informací je relativně jednoduchý.
DHCP dá klientům routeru nějaké adresy kam klienti mají směřovat DNS dotazy. Default je adresa Omnie, v případě klasického pi-hole nastavení tam chcete adresu kontejneru kde běží.
A tento DNS resolver (knot-resolver, pi-hole,…) má dvě základní možnosti kde se ptát: (A) jiného DNS resolveru – od ISP, cz.nic, 8.8.8.8, 9.9.9.9, … – to Foris nazývá “forwarding”, nebo se může ptát (B) přímo autoritativních serverů pro jednotlivé domény (bez “forwardingu”). Myslím, že pi-hole používá dnsmasq a tedy neumí (B).
Díky forwardingu lze tedy dělat “vrstvy”, ale provádět DNSSEC validaci až po jakémkoliv filtrování není dobrý nápad. I blokování je samozřejmě změna dat, tedy bude způsobovat chyby validace a resolver se bude opakovaně snažit “poškozená” data získat (v zabezpečených podstromech, jinde se validovat nedá).
Mimochodem, k pi-hole přístupu existuje i alternativa která prostě udržuje block-listy pro defaultní knot-resolver.