A configuração do-ip6 impede que o unbound envie ou receba consultas DNS por meio do IPv6. Ele não impede que o unbound fale sobre os registros IPv6 do DNS sobre o IPv4.
Na página do manual de unbound.conf (ênfase minha):
do-ip6: (yes or no)
Enable or disable whether ip6 queries are answered or issued. Default is yes. If disabled, queries are not answered on IPv6, and queries are not sent on IPv6 to the internet nameservers. With this option you can disable the ipv6 transport for sending DNS traffic, it does not impact the contents of the DNS traffic, which may have ip4 and ip6 addresses in it.
Da mesma forma, o prefer-ip6 controla se o não consolidado prefere usar o IPv6 para conversar com um servidor DNS acessível ao IPv4 e ao IPv6 ou não.
Para bloquear consultas IPv6 reversas, talvez você possa fazer algo assim?
local-zone: ip6.arpa. refuse
O bloqueio de consultas de encaminhamento sobre endereços IPv6 exigiria a filtragem de todas as consultas sobre registros AAAA. Mas uma única consulta pode incluir perguntas sobre vários tipos de registro e, em seguida, o software teria que remover os tipos de registro específicos do IPv6 da consulta ou rejeitar toda a consulta.