Маршрутизатор Mikrotik обслуживает внешние DNS-запросы, несмотря на правила брандмауэра

Маршрутизатор ОС v6.35.4

Я поставил галочку IP > DNS > Allow remote requests потому что я хочу использовать статический список DNS роутера.

Используя правила брандмауэра I drop весь трафик на dst 53 порт UDP а также TCP за input а также forward цепочки, позволяющие только UDP-запросы из локальной подсети на мой маршрутизатор через цепочку ввода.

Когда я смотрю на IP > Firewall > Connections Вкладка Я иногда вижу подключения с какого-то внешнего IP-адреса к другому внешнему IP-адресу к порту 53. Оба внешних IP-адреса не мои. Статус этих соединений seen reply + confirmed где обычные внешние запросы обычно seen reply + assured + confirmed,

Счетчик для правил блокировки остаётся на 0. Правила перемещаются наверх.

Единственный способ остановить странные связи - снять галочку IP > DNS > Allow remote requests вариант.

Как это объяснить?