Wat is DNS-gebaseerd ad-blokkeren?
Voordat we de drie kandidaten vergelijken, eerst de basis. Elke keer dat je een website bezoekt of een app een verbinding maakt, wordt een DNS-verzoek verstuurd. DNS staat voor Domain Name System — het vertaalt domeinnamen zoals „example.com" naar IP-adressen. Jouw apparaat vraagt dus: „Welke IP heeft tracking.example.com?" — en krijgt een antwoord. Hier beginnen DNS-blokkers. In plaats van het verzoek naar een normale DNS-server te sturen, leiden ze het via een eigen server die een blokkadelijst bijhoudt. Staat de gevraagde domeinnaam op deze lijst — bijvoorbeeld omdat ze bekend staat om advertenties of tracking — wordt het verzoek geblokkeerd. De domeinnaam wordt niet opgelost, en de verbinding komt niet tot stand. Het grote voordeel: DNS-blokkering werkt netwerkbreed. Als je de DNS-blokker instelt als DNS-server in je router, profiteren alle apparaten in het netwerk — van Mac tot iPhone tot smart-tv. Je hoeft geen software op elk apparaat te installeren. Maar DNS-blokkering heeft ook duidelijke beperkingen. Het werkt op domeinniveau, niet op verbindingsniveau. Als een app data verstuurt via hetzelfde domein dat geblokkeerd wordt, kan de DNS-blokker dat niet onderscheiden. Hij blokkeert de hele domein — en de app werkt niet meer — of laat alles door, inclusief tracking. Daarnaast helpt DNS-blokkering niet tegen verbindingen die direct via IP-adressen lopen, zonder DNS-verzoek. Sommige apps en diensten gebruiken dat om DNS-blokkering te omzeilen. Ondanks die beperkingen is DNS-blokkering een krachtig hulpmiddel — en de drie oplossingen maken het toegankelijk.
Pi-hole — De zelfgehoste klassieker
Pi-hole is het origineel onder de DNS-blokkers en sinds 2014 de referentie voor netwerkbreed ad-blokkeren. De naam komt van de Raspberry Pi, waarop de software oorspronkelijk draaide — maar inmiddels kun je Pi-hole op vrijwel elk Linux-systeem of in een Docker-container draaien. De installatie is voor technisch onderlegde gebruikers eenvoudig: Pi-hole op een Raspberry Pi of server installeren, als DNS in je router instellen, klaar. Het webinterface toont real-time statistieken: hoeveel verzoeken geblokkeerd, welke domeinen het vaakst worden opgeroepen, welke apparaten het meeste verkeer genereren. De kracht van Pi-hole ligt in de community. Honderden gecureerde blokkadelijsten, en de documentatie is uitstekend. Als je een specifiek probleem hebt, vind je waarschijnlijk de oplossing in het forum of op Reddit. Maar Pi-hole heeft ook nadelen. De software ondersteunt standaard geen DNS-over-HTTPS (DoH) of DNS-over-TLS (DoT) — je hebt extra software nodig zoals Cloudflared of Unbound om versleutelde DNS-verzoeken mogelijk te maken. In 2026 is dat een serieus minpunt, want onversleuteld DNS betekent dat je internetprovider elke DNS-aanvraag kan meelezen. Daarnaast heeft Pi-hole hardware nodig die 24/7 draait. Een Raspberry Pi verbruikt weinig stroom, maar moet wel worden ingesteld, onderhouden en af en toe geüpdatet. Als de Pi uitvalt, valt ook je DNS uit — en daarmee je internet. Voor technisch onderlegde gebruikers geen probleem, maar het is iets om rekening mee te houden. Pi-hole is gratis en open source. Je betaalt alleen voor de hardware. Voor wie is Pi-hole ideaal? Voor iedereen die graag knutselt, volledige controle wil en geen probleem heeft met het draaien van een kleine server.
AdGuard Home — De modernere rivaal van Pi-hole
AdGuard Home werd in 2018 uitgebracht en is in veel opzichten het antwoord op de zwaktes van Pi-hole. Net als Pi-hole is AdGuard Home open source en zelfgehost — je draait het op je eigen hardware. Maar AdGuard Home brengt enkele functies mee waarvoor je bij Pi-hole extra software nodig hebt. Het grootste voordeel: AdGuard Home ondersteunt DNS-over-HTTPS, DNS-over-TLS en DNS-over-QUIC direct uit de doos. Geen extra configuratie, geen extra software. Je stelt het in, activeert versleuteld DNS, en je verzoeken zijn beschermd tegen je internetprovider. Dat is voor veel gebruikers de doorslaggevende reden om AdGuard Home boven Pi-hole te verkiezen. Het webinterface is modern en overzichtelijk. Je ziet in één oogopslag welke apparaten hoeveel verzoeken doen, welke domeinen worden geblokkeerd en hoe het netwerkverkeer is verdeeld. De installatie is vergelijkbaar eenvoudig als bij Pi-hole — Docker-container starten, als DNS in je router instellen, klaar. AdGuard Home biedt ook ingebouwde kindermodus en Safe-Browsing functies. Je kunt bepaalde diensten voor bepaalde apparaten blokkeren — bijvoorbeeld social media op de tablet van je kinderen, terwijl je eigen computer volledige toegang heeft. Deze apparaatgebaseerde configuratie is bij Pi-hole alleen met omwegen mogelijk. De blokkadelijst-beheer is iets gebruiksvriendelijker dan bij Pi-hole, en AdGuard onderhoudt eigen, hoogwaardige filterlijsten. Tegelijkertijd kun je alle Pi-hole-compatibele lijsten importeren. Het nadeel? De community is kleiner dan die van Pi-hole, en voor zeer specifieke problemen vind je minder discussies en oplossingen online. Ook heb je hier eigen hardware nodig die continu draait. AdGuard Home is ook gratis en open source. Voor wie is het ideaal? Voor iedereen die de voordelen van Pi-hole wil, maar waarde hecht aan versleuteld DNS en een moderner interface.
NextDNS — Cloud-gebaseerd, zonder setup
NextDNS volgt een fundamenteel andere aanpak dan Pi-hole en AdGuard Home: in plaats van eigen hardware gebruik je de servers van NextDNS in de cloud. Je wijzigt eenvoudigweg de DNS-instellingen op je apparaat of router — klaar. Geen Raspberry Pi, geen Docker, geen onderhoud. De setup duurt letterlijk twee minuten. Je maakt een gratis account aan, krijgt een persoonlijke DNS-adres en voert dat in op je router of apparaten. NextDNS biedt apps voor macOS, iOS, Android en Windows die de configuratie nog eenvoudiger maken. Het dashboard is krachtig: je ziet alle DNS-verzoeken in real-time, kunt blokkadelijsten aan- en uitzetten, domeinen whitelisten en statistieken per apparaat bekijken. NextDNS ondersteunt DNS-over-HTTPS en DNS-over-TLS, en doordat de servers wereldwijd verspreid zijn, is de latency doorgaans laag. Het gratis plan staat toe 300.000 DNS-verzoeken per maand — dat is voor de meeste individuele gebruikers voldoende. Daarboven kost NextDNS ongeveer 2 euro per maand. Vergeleken met hardware-investering en stroomverbruik van een Raspberry Pi is dat eerlijk, maar het is een doorlopende kostenpost. Het voor de hand liggende nadeel: je geeft je DNS-verzoeken door aan een bedrijf. NextDNS heeft wel een duidelijke privacy policy en biedt de optie om logs na korte tijd automatisch te verwijderen, maar je moet het vertrouwen in de provider hebben. Bij Pi-hole en AdGuard Home blijven je data binnen je eigen netwerk — bij NextDNS niet. Daarnaast ben je afhankelijk van de beschikbaarheid van de dienst. Als NextDNS uitvalt, valt je DNS weg. Dat gebeurt zelden, maar het is een risico dat je bij een zelfgehoste oplossing niet hebt. Voor wie is NextDNS ideaal? Voor iedereen die DNS-blokkering wil zonder zich met hardware en onderhoud bezig te houden — en die bereid is te vertrouwen op een cloud-aanbieder.
DNS-blokker vs app-firewall — Heb je ze allebei nodig?
Het korte antwoord: ja. DNS-blokkers en app-firewalls vullen elkaar aan — ze vervangen elkaar niet. Een DNS-blokker werkt op netwerklaag en beschermt alle apparaten tegelijk. Hij is uitstekend in het blokkeren van bekende advertentie- en trackingdomeinen voordat de verbinding überhaupt wordt gemaakt. Maar hij heeft blinde vlekken: hij kan niet zien welke app een verzoek doet. Hij kan niet onderscheiden of een verbinding van je browser komt of van een app die op de achtergrond telemetrie verstuurt. En hij faalt volledig bij verbindingen die direct via IP-adressen lopen, zonder DNS-verzoek. Een app-firewall zoals NetMute werkt op een andere laag. Hij zit direct op je Mac en ziet elke uitgaande verbinding — inclusief welke app dat initieert. Je ziet niet alleen dat er een verbinding wordt gemaakt met analytics.example.com, maar ook dat het je teksteditor is die dat doet. En je kunt precies die teksteditor blokkeren, zonder andere apps te beïnvloeden. De kracht zit in de combinatie: de DNS-blokker pakt het grootste deel van de bekende trackers op netwerklaag. NetMute pakt alles op dat via DNS of direct via IP gaat — onbekende trackers, directe IP-verbindingen en apps die zich na een update verdacht gedragen. Een concreet voorbeeld: je installeert een nieuwe notitie-app. De DNS-blokker kent de tracking-domeinen nog niet, omdat ze nieuw zijn. NetMute toont je meteen dat de app op de achtergrond verbindingen maakt met een analytics-server — en je blokkeert dat met één klik. NetMute kost eenmalig €9,99 — geen abonnement, geen cloud, geen data-verzameling. De app vult de ingebouwde macOS-beveiliging perfect aan: Apple zorgt dat er niets kwaads binnenkomt. NetMute zorgt dat er niets ongewensts uitgaat.