Se sua cadeia FORWARD de firewall estiver fazendo DROP por padrão, isso deve ser suficiente:
iptables -A FORWARD -s 10.0.0.1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 10.0.0.1 -p udp --dport 53 -j ACCEPT
(o DNS usa a porta 53 UDP e TCP)
Se você também quiser especificar um servidor DNS 10.1.1.1, por exemplo:
iptables -A FORWARD -s 10.0.0.1 -d 10.1.1.1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 10.0.0.1 -d 10.1.1.1 -p udp --dport 53 -j ACCEPT
Você também pode configurar o servidor DNS para aceitar somente solicitações dos endereços IP / rede que são necessários para fornecer respostas em seus arquivos de configuração.