Tempo de execução do objeto DNS do FWBuilder - quando exatamente ele resolve o nome DNS?

No Firewall Builder, quando você usa o Objeto DNS e o define para o tempo de execução, quando exatamente o firewall (iptables no nosso caso) realmente resolve o nome DNS?

1. É sempre que uma chamada é feita para esse nome DNS no firewall? Então, o firewall resolveria o nome na mosca sempre que alguém / alguma coisa tentasse acessar esse nome DNS?
2. Ou é quando você executa o script fw para carregar as regras no iptables? Então, nesse caso, ele resolveria o nome DNS uma única vez e depois codificaria o endereço IP resultante nas regras de iptable?

Pelo que li, acho que é o número 1, mas não é 100% claro para mim. Temos dois servidores para uma determinada função em nossa rede. Um é o servidor primário e outro é o backup.

alpha0.domain.com
alpha1.domain.com

No DNS, temos isto:

alpha.domain.com -> alpha0.domain.com

Se o servidor principal ficar inoperante e precisarmos alternar para o backup, basta alterar nosso registro de DNS local para apontar para alpha1.domain.com .

Então, de volta ao firewall, se eu colocar um objeto de domínio como alpha.domain.com , preciso recarregar as regras de firewall toda vez que eu alternar para o servidor alfa de backup e alterar o registro DNS? Ou o firewall resolverá automaticamente o endereço correto mesmo depois da troca?