O padrão do Ubuntu é dnsmasq como um servidor DNS em cache.
Você pode verificar se você é afetado (alguns servidores de DNS têm essa proteção ativada por padrão, então através da sua conexão atual você já pode estar seguro)
$ dig +short 2.0.0.127.zen.spamhaus.org
127.0.0.10
Instalar o dnsmasq irá configurar automaticamente o seu /etc/resolv.conf para apontar toda a resolução de nomes para a instância dnsmasq local.
sudo apt-get install dnsmasq
A opção de rejeitar IPs privados de servidores upstream pode ser facilmente adicionada:
echo "stop-dns-debind" | sudo tee /etc/dnsmasq.d/stop-rebinding
Não se esqueça de reiniciar o servidor DNS depois de alterar as opções:
sudo restart dnsmasq
Configuração de teste como acima, nenhuma resposta 127.0.0.0/8 deve ser retornada.
Consulte o manual do dnsmasq no caso de sua máquina, por qualquer motivo, realmente precisar consultar os RBLs (como o mencionado no teste acima) - isenções parciais da proteção são possíveis.