остановите системное DNS безумие

Я использую сервер в Интернете с контейнерами LXC. Таким образом, мне нужно какое-то внутреннее именование, и почтенный DNSmasq был заменен дальнейшими расширениями самого дьявола (systemd):)

По умолчанию некоторые, как systemd-resolved слушает 0.0.0.0:53 в Intenet !

У меня есть правила iptables, которые НЕ открываются 53, но некоторые из них не только связывают systemd с IP-адресом в Интернете, но и открывают брандмауэр.

Есть идеи, как заставить systemd сделать что-то неясное в этом отношении для сервера, который подключен к Интернету?