"Port 53 gar nicht verwendet" ist wieder das Problem mit den 100%. nslookup, der Browser bzw. jede herkömmliche Software, die DNS nutzt, wird über Port 53 gehen, weil das der offiziell registrierte DNS-Port ist. Mag sein, dass es irgendwelche alternativen DNS gibt, die .. was weiß ich .. 10053 oder so benutzen, um gerade solche Sperren zu umgehen, aber davon weiß der Browser bzw. der Netzwerkstack des Betriebssystems ja nix, da wird nur eine IP für den DNS angegeben, der Port wird implizit von Windows ergänzt. So ohne weiteres lässt sich daher ein DNAT im Router, das Port 53 auf zB OpenDNS forciert, nicht umgehen.
Aber ich könnte wetten, dass es mit ein paar Handgriffen, gehacktem nslookup bzw. Systemfiles des OS eben doch irgendwie geht, den DNS-Port zu ändern. Der einzige Weg, sowas zu verhindern wäre dann DPI. Dabei guckt sich der Router bzw. die Firewall nicht nur Quell- und Zielinformationen eines Pakets an, sondern den kompletten Inhalt. DPI ist aber einerseits sehr ressourcenintensiv und andererseits vom Aufwand und KnowHow für den Admin auch nicht zu unterschätzen. Die klassischen Kanonen auf Spatzen würde ich mal sagen *g*
Ein weiterer Workaround wäre ein VPN. Sobald man über ein VPN nach draußen geht, kann man jeden beliebigen DNS nutzen, der einem in den Sinn kommt. Auch kann man jede beliebige Internetseite aufrufen, die getarnt durch das VPN, für den Router nebst Filterlisten vollkommen unauffällig wären. Mittel und Wege, Sicherheitsmechanismen zu umgehen, gibt es also immer. Man kann nur einen Mittelweg aus Effektivität und Wartbarkeit beschreiten.
Wenn weitestgehend wirkungslose MAC-Filter auf der einen Seite stehen, findet man auf der anderen Seite eben Deep Packet Inspection (DPI). Der Mittelweg ist dann eben sowas wie Proxy, gefilterter DNS, White-/Blacklist und ggfs ein Captive Portal.
