PfSense Unbound отклоняет запросы из другой локальной сети

У меня есть домашний сервер PfSense с двумя интерфейсами: LAN и Wi-Fi с Captive Portal.

DNS Resolver отлично работает в обоих случаях: я принудительно перенаправил DNS-трафик в общедоступном DNS WAN на сам брандмауэр.
Гостям Wi-Fi разрешено использовать только: DNS-порт 53 до адресата 192.168.200.254 HTTP и HTTPS для веб-навигации.

Моя проблема: из гостевой сети Wi-Fi мой клиент может получить все записи локальной сети (например, 192.168.0.254) с помощью nslookup 192.168.200.254.

Я хотел бы отклонить эти запросы DNS, я не хочу, чтобы мои гости могли знать IP-адреса/устройства моей локальной сети (даже если да, другой трафик уже запрещен).