А вы не думали, что acl у условного днс, не такая уж железобетонная защита? На 53 порт вам могут затупить что угодно, не только корректный пакет. А вы уверены что специально сформированный некорректный с точки зрения днс запрос не вызовет у вас например отказ в обслуживании и крах демона?
шанс словить баг в файрволле ( ядре) который пропустит пакет имхо на порядок ниже чем в прикладном софте.
а еще лучше фильтровать не на сервере а на отдельной железке, хоть софтверной хоть аппаратной хоть средствами клауда и не трахать му-му