Não é um firewall se você usar seu próprio servidor DNS. Eu chamaria isso de algo como uma "filtragem de retransmissão de DNS", não um firewall.
Se você deseja que seu servidor DNS seja o único que as pessoas podem acessar com facilidade, defina seu firewall (supondo que ele realmente tenha recursos tradicionais de firewall) para bloquear a saída para a porta 53 para TCP e UDP.