Sua lista de acesso deve ser aplicada na interface da LAN. É uma ACL estendida que deve ser aplicada o mais próximo possível da fonte. Deve ser algo como:
interface GigabitEthernet0/0
description LAN interface
ip access-group 101 in
Você também tem um problema, pois está apenas bloqueando o DNS através do UDP, enquanto o DNS também deve suportar o TCP. RFC 5966, Transporte de DNS sobre TCP - Requisitos de Implementação esclarece o fato de que o DNS deve oferecer suporte ao TCP:
This document therefore updates the core DNS protocol specifications
such that support for TCP is henceforth a REQUIRED part of a full DNS
protocol implementation.
Você provavelmente quer algo assim:
access-list 101 permit udp any host 8.8.8.8 eq 53
access-list 101 permit udp any host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit tcp any host 8.8.8.8 eq 53
access-list 101 permit tcp any host 8.8.4.4 eq 53
access-list 101 deny tcp any any eq 53
access-list 101 permit ip any any
Colocar a ACL acima como entrada para o roteador a partir da LAN bloqueará a entrada de solicitações de DNS no roteador, a menos que elas sejam destinadas a 8.8.8.8
ou 8.8.4.4
.