Filter funktionieren nicht zuverlässig auf macOS

Hallo
ich habe ja schon sehr lange pihole im lokalen Netzwerk laufen und bin ja sehr zufrieden. Aber mir ist schon länger aufgefallen, dass ich auf dem Mac (macOS v26 oder auch v10.15.7) beim Schauen von gestreamten Filmen im Firefox Browser jede Menge lästiger Popups kriege, ständig gehen Fenster auf und machen das Filmschauen sehr mühsam. Klicks auf den Film (für Pause) werden fast grundsätzlich abgefangen und öffnen neue Tabs.
Aber auf Windows ist das aber überhaupt nicht!
Dort habe ich genau die gleichen Add-Ons (wg. Sync) im Firefox wie auf dem Mac aber keinerlei lästiger Werbepopups.

Kann es sein, dass beim Mac der DNS nicht 100% einstellbar ist, also nicht nur von Pihole kommt?
In den Einstellungen habe ich zwar auch mal explizit meinen PiHole eingetragen, das ändert aber nichts.
Woran kann das liegen?
Danke für Tipps. frank

Moin, das kann ich so nicht bestätigen. Ich nutze macOS 26.3.1 und habe im Firefox (148.0.2) keine Werbung. Natürlich kann ich nicht beurteilen, auf welchen Seiten bei dir Werbung angezeigt wird – nenn mir gern ein paar URLs, dann teste ich das bei mir nach. Ich habe es gerade einmal mit heise.de ausprobiert.

PS: die Systeme bekommen die DNS Server (2 x PiHole) per DHCP

kannst du mal schauen wenn du z.B. das testet was als ausgabe kommt

micneu@mne-m1 ~ % dig heise.de

; <<>> DiG 9.10.6 <<>> heise.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 218
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;heise.de.			IN	A

;; ANSWER SECTION:
heise.de.		85308	IN	A	193.99.144.80

;; Query time: 3879 msec
;; SERVER: 172.30.3.4#53(172.30.3.4)
;; WHEN: Sat Mar 21 20:00:25 CET 2026
;; MSG SIZE  rcvd: 53

I believe MacOS supports DoT (DNS over TLS) that would allow DNS queries to bypass Pi-hole.
Also allot of browsers support DoH (DNS over HTTP) which would also allow to bypass Pi-hole.

Its been a very long time ago since I used MacOS so I dont know exactly where/how DoT can be configured in the OS.
But for browsers, you need to make sure below DoH setting is DISABLED:

zB auf s.to da poppt einiges auf. Interessanterweise ist es auf meinem meinen neuen MacBook mit macOS 26 erheblich mehr, auf meinem alten Mac mit 10.15.7 ist nur ein Werbefenster direkt auf dem Playerfenster.

DoT could be blocked only with AdGuard, I read. How could I test if this is the reason?

NOT TRUE !!!

It’s a matter of multiple things and just a part of it is DNS which Pi-Hole can block easily

For example : How to Prevent DNS Filter Bypass: VPN, DoH & DoT Blocking

Fore more reading see :

• how to block dot dns traffic at DuckDuckGo
• DNS over TLS - Wikipedia

This is one of the reasons I always recommend having your own Router with Advanced Firewall Features

nslookup and dig should tell you where your DNS traffic goes to.

Another way to check things is to use netstat or ss and see all the connections your PC has made.

The best would be something like tcpdump or WireShark and just sniff all the traffic

Wenn die Ads nur auf dem Mac vermehrt aufpoppen, ist die Sache doch eindeutig.
Entweder überträgst du die Einstellungen des Firefox auf den neuen Mac oder du änderst erst einmal die Einstellungen des FF auf dem betroffenen Mac.

Du findest die Einstellung im FF und Einstellung => Datenschutz und Sicherheit.

Tatsächlich, das war bei mir auf Standard.
Habe es gleich mal aus...
Kann ich allerdings erst nächste Woche sagen, ob es bringt was.
Auch muss ich dann mal sehen, ob auf meinem W11 Rechner das auch so auf Standard steht, aber Einstellungen sychronsiere ich ja nicht.

Tja, so kann's gehen
Ein schöner ByPass durch den Browser. Ist öfter als man glaubt.
Viel Erfolg !

Bin gerade in Schweiz, in einer Hütte mit WLAN, habe aber eine VPN zu meinem PiHole stehen, daher habe ich als DNS die IP meines PiHole eingetragen, aber dennoch sehe ich so komische Einblendungen, bei dieser URL:

die kann ich immerhin mit dem X auch schließen (hatte ich zwar nicht erwartet). Klicke ich dann auf den Player, poppt gleich ein neuer Tab auf mit:
https://ephesiansavvyinto.com/4/d7a00ad210833a04db919b10a8314ada?psid=4138
Das wird aber von meinem uBlock Add-On geblockt.
Auch wenn ich zB auf die Einstellungen des Players klicke, oder den Untertitelbutton will ein neuer Tab aufgehen, denn dann immer mein uBlock abfängt.
Habe ich einen Denkfehler oder dürfte ein neuer Tab eigentlich gar nicht erst aufgehen, wenn ich meinen DNS auf den PiHole gestellt habe?
Im FF ist das ja jetzt aus. Der DNS funktioniert ja auch, ich kriege Seiten auf und wenn ich jetzt das VPN beende (aber den DNS nicht wieder ändere) geht es nicht mehr.

DNS-Einstellungen im MacBook:

PS.: nicht dass ich diese Serie "Nautilus" jetzt anschauen wollte, das ist nur ein Beispiel

Ich habe das bei mir mal geöffnet – bei mir wird keine Werbung angezeigt. Dann könnte es auch sein, dass du die falschen Blocklisten aktiv hast.

Aber dann in uBlock und nicht im Pihole, weil der ja für Mac und W11 gleicht filtert.

Also ich nutze von außen eine VPN zu meiner Fritzbox, in der ein gesonderter Benutzer dafür angelegt wird. Der pihole wird dann wie im Heimnetz benutzt.

In deinem Fall besteht noch die Möglichkeit, das ipv4 korrekt über den pihole geblockt wird, aber parallel die Werbung über ipv6 sich doch durchmogelt.

Die Blocklisten können auch daneben liegen, aber du hast ja schon 10,5 Mio in deiner Datenbank. Das ist echt viel. Ich nutze nur 570.000 Einträge und muss schon manchmal schauen, ob mir Dienste damit selbst das Wasser abgraben.

Prüf mal die ersten beiden Punkte. Könnte daran liegen.

Das ist eine Verwechslung, micneu hat so viel, ich nicht, ich hab nur 87400:

Dig ergibt auch brav meinen Pi-hole Rasp:

$ dig s.to | grep 'SERVER'
;; SERVER: 192.168.0.160#53(192.168.0.160)

über den ich grad die Namensauflösung beziehe (per VPN).

Auf dem Player sind zwei kleine Fenster drauf mit Link auf jiwvudruhkag.in
Das macht mir dann aber scheints uBlock wieder zu, wenn ich drauf klicke, weil ich kurz sogar Inhalte dieser Seite in einem neuen Tab sehe.
Auf meinem W11 Rechner kommen aber nicht mal diese Nervfenster an.

Kann es sein, dass der Mac IPv6 DNS irgendwie separat zieht?
Wie kann ich das denn testen? Dig zeigt da ja nicht.

EDIT: grad sehe ich, dass ich im Pi-hole nur die Filterliste von StevenBlack habe, nur eine einzige: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
Aber das kann ja immer noch nicht erklären, warum auf dem W11 Rechner mehr gefiltert wird.

Gute Frage, ich hab ja keine Apfel-Geräte.
Versuch es mal im Query Log oder unter Tools\Tail log file\pihole.log

Jetzt hab ich mal zur StevenBlack:

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

noch weitere Listen integriert:

https://adaway.org/hosts.txt
https://raw.githubusercontent.com/anudeepND/blacklist/master/adservers.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/add.2o7Net/hosts
https://hostfiles.frogeye.fr/firstparty-trackers-hosts.txt
https://raw.githubusercontent.com/r0xd4n3t/pihole-adblock-lists/main/pihole_adlists.txt

Habe ich von:

und:

Das hat ja zwar eigentlich nicht direkt was damit zu tun, aber schadet sicher nicht.
Allerdings haben die alle nicht zB die Domain www.jiwvudruhkag.in drin.
Aber ich hab jetzt tatsächlich über 1.5 Millionen Einträge in den Listen

Jetzt habe ich noch mal s.to geladen und das Query Log mit Live Update angeschaut, aber trotz der vielen Listen wird da nichts Einschlägiges blockiert, ich sehe sogar www.jiwvudruhkag.in in den durchgelassenen Einträgen.
Ich glaube, ich bräuchte wohl die Listen von uBlock.

Kannst du mir mal deine Listen hier kopieren?
Also die URLs?
Dann würde ich die mal dazu nehmen und schauen ob es was ändert...

Kein Problem

https://someonewhocares.org/hosts/zero/hosts
https://blocklistproject.github.io/Lists/abuse.txt
https://filters.adtidy.org/extension/chromium/filters/11.txt
https://malware-filter.gitlab.io/malware-filter/phishing-filter-hosts.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/wildcard/pro.txt
https://raw.githubusercontent.com/fredprod/host-file.net-backup/master/ad_servers.txt
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

Das kannst du über

dig heise.de AAAA

machen, steht auch so in der manpage

$ dig heise.de AAAA | grep SERVER
;; SERVER: 192.168.0.160#53(192.168.0.160)

Immer noch mein Pi-hole. Ich hatte DNS für IPv6 sehr spät erst entdeckt und eingerichtet, das hatte viel gebracht.

Das ist kein geeigneter Test.
Damit wird lediglich ein AAAA-Datensatz angefordert.
Es wird nicht erzwungen, dass dig dazu über IPv6 mit dem DNS-Server kommuniziert (das ginge z.B. über dig -6).

Um die vom Router angebotenen IPv6-DNS-Server-Adressen zu finden, kannst Du z.B. folgendes Kommando verwenden:

sudo pihole-FTL dhcp-discover

Pi-hole hat absolut keine Kenntnis von irgendwelchen PopUps, Tabs, Bildern, Videos, Skripten oder sonstigen browserseitigen Elementen.
Für die gezielte Blockade solcher Elemente ist eine Browser-Erweiterung wie uBlock Origin die richtige Wahl - kann aber auch nur ausschließlich Elemente im Browser blockieren.

Als filternder DNS-Server ist Pi-hole demgegenüber nur involviert, wenn ein DNS-Anfrage für eine Domäne an Pi-hole gestellt wird, wobei es dabei wiederum egal ist, ob diese Anfrage vom Browser, Deinem Maustreiber oder Deiner Gesundheitsapp kommt: Pi-hole filtert Deinen gesamten DNS-Verkehr, nicht nur den Deines Browsers.

Da Pi-hole eine Domäne entweder auflösen oder blockieren kann, kann Pi-hole keine Werbung blocken, die über dieselbe Domäne wie der eigentliche Inhalt ausgeliefert wird.

Browser-Erweiterung und DNS-Filter ergänzen sich also.