Не рекомендуется отвечать на рекурсивные DNS-запросы извне локальной сети.
Есть ли способ заставить dnsmasq отвечать на запросы об определенных доменах (частично локально, частично перенаправлять на другой DNS-сервер) из любого места, но отвечать на все запросы, если запрос поступает из локальных сетей?
В итоге я запустил два экземпляра dnsmasq и выполнил фильтрацию в iptables.