проясняется понемногу. спасибо за упоминание iptables ))
1) ndnproxy слушает на 41100 порту.
~ # netstat -ntulp | grep /ndn | grep LISTEN
tcp 0 0 0.0.0.0:41100 0.0.0.0:* LISTEN 574/ndnproxy
tcp 0 0 :::41100 :::* LISTEN 574/ndnproxy
2) вывод
~ # iptables-save | grep 0xffffd00
пустой, если в Policy0 пусто
3) при добавлении 192.168.23.94 (например) в Policy0 (через gui) вывод побогаче:
~ # iptables-save | grep 0xffffd00
-A _NDM_HOTSPOT_DNSREDIR -d 192.168.23.1/32 -i br0 -p udp -m mark --mark 0xffffd00 -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -d 192.168.23.1/32 -i br0 -p tcp -m mark --mark 0xffffd00 -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -d 10.1.30.1/32 -i br1 -p udp -m mark --mark 0xffffd00 -m udp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_DNSREDIR -d 10.1.30.1/32 -i br1 -p tcp -m mark --mark 0xffffd00 -m tcp --dport 53 -j REDIRECT --to-ports 41100
-A _NDM_HOTSPOT_PRERT -s 192.168.23.94/32 -i br0 -j MARK --set-xmark 0xffffd00/0xffffffff
где 192.168.23.1/32 это кинетик в домашнем сегменте, 10.1.30.1 - гостевая сеть (откуда она? раньше была в Policy1, которую я удалил, это хвост какой-то остался)
то есть понятно, что действительно на запросы от устройства в Policy0 отзывается ndnproxy вместо AdGuard. непонятно, почему и зачем так сделано.
надеюсь на помощь разработчиков и призываю их в пост.