(Zwar ein wenig off-topic, aber das Bildschirmfoto hatte ich schon.)
Bei FBen lässt sich der DNS-Port (53) wie folgt sperren:
Zunächst über Internet | Filter | Listen im Abschnitt Netzwerkanwendungen eine neue Netzwerkanwendung hinzufügen:
Diese Anwendung lässt sich dann in einem Zugangsprofil unter Internet | Filter | Zugangsprofile gezielt sperren, indem man ein solches Zugangsprofil bearbeitet und dort unter Gesperrte Netzwerkanwendungen die zuvor definierte DNS-Anwendung auswählt.
Anschliessend ordnest Du unter Internet | Filter | Kindersicherung dieses Profil dem gewünschten Gerät zu, also z.B. Deinen Steckdosen.
Für mein Netz habe ich beispielsweise drei Profile definiert (klicken für mehr)
Andere Nutzer haben mit Sicherheit andere Präferenzen, daher wirklich nur als Beispiel:
Internet
völlig unbeschränkt
Dieses Profil haben nur ausgewählte Geräte, z-B. mein Pi-hole-Rechner.
Internet ohne DNS
unbeschränkt, bis auf DNS als eingeschränkte Anwendung
Dieses Profil ordne ich standardmässig manuell meinen Geräten zu
Standard
ohne jegliche Internetberechtigung.
Die FB ordnet grundsätzlich und nicht konfigurierbar dieses Profil neuen Geräten im Netzwerk zu.
Mit dieser Einstellung können neue Geräte also nicht ins Internet, aber im lokalen Netz sehr wohl kommunizieren.
Die meisten IoT-Geräte bleiben bei mir auf dieser Einstellung.
Insbesondere die Sperrung des Standard-Profils kann zu heftigen Diskussionen im Haushalt führen, wenn neue Geräte angeschlossen werden oder zunächst nicht funktionieren (auch, weil ich selbst nicht sofort daran danke).
Glücklicherweise muss man das pro Gerät nur einmal machen, dann ist die Aufregung auch schon vergessen.
Und für Gäste gibt es das Gastnetz.
Aber das kann jeder nach seinem Bedarf noch beliebig erweitern. 