stop systemd DNS безумие

Я запускаю сервер в Интернете с контейнерами LXC. Таким образом, мне нужно какое-то внутреннее именование, и почтенный DNSmasq был заменен дальнейшими расширениями самого дьявола (systemd):)

По умолчанию некоторые, как systemd-resolved, прослушивают 0.0.0.0:53 на Intenet!

У меня есть и iptables правила, которые НЕ открывают 53, но некоторые из них не только связывают systemd с интернет-IP, он также открывает брандмауэр.

Любая идея, как сделать systemd сделать что-то неопределенное в этом отношении для сервера, на котором стоит Интернет?