Přepdokládám, že ten nový DNS server umí poslat pakety přímo zpět do té privátní sítě. Tím pádem se pakety nevrací zpět původní cestou přes NAT, který by je přeložil zpět – a počítač, který položil dotaz, dostane odpověď z jiné IP adresy, než kam posílal dotaz, takže samozřejmě odpověď zahodí. Musíte tedy na NATujícím počítači dělat nejenom DNAT, ale i SNAT (maškarádu) – nastavit zdrojovou adresu paketu na adresu toho NATujícího zařízení. DNS server tím pádem neodpoví přímo, ale pošle paket zpět na NATující zařízení a to má šanci paket upravit zpět (udělat inverzní operaci, kterou dělal DNAT na paketu dotazu). Obecně se tomu říká hairpin NAT, v iptables se to dělá právě pomocí toho SNATu nebo maškarády.