o ponto "." em uma consulta DNS não é representada como um caractere, mas como o comprimento da seqüência que segue. Por exemplo, www.google.com é consultado como
0x03 w w w 0x06 g o o g l e 0x03 c o m
você pode facilmente permitir / bloquear consultas DNS, combinando os nomes de domínio com --hex-string. No seu caso:
-m string --algo bm --hex-string '|06 676f6f676c65 03 636f6d|' -j ACCEPT
aceita todos os pacotes DNS que contêm ".google.com".
Costumo usar essa técnica contra o ataque de amplificação de consulta do DNS.
fonte: DNS RFC 1035