Existe RFC 7871 que, devido a deficiências operacionais e de privacidade, ainda não tem status de padrão. Ele usa uma opção EDNS que funciona muito similar ao X-Forwarded-For, com a possibilidade de incluir apenas tantos bits do endereço quanto você julgar apropriado para o seu caso de uso.
A correspondência deste campo usando um firewall será desafiadora porque está no final da solicitação, o que significa que o deslocamento está variando e o pacote pode ser fragmentado de forma que não possa ser identificado sem primeiro remontar o pacote. A julgar pela página man na minha máquina, parece não haver filtros específicos do DNS no iptables.
Adicionar o campo de uma regra de manuseio no firewall será ainda mais desafiador. Portanto, você deve estar procurando uma solução de camada de aplicativo em vez de um firewall ou evitar enviar os pacotes por meio de NAT.