klirichek

Пусть маки белых хостов - 11:11:11:11:11:11 и 22:22:22:22:22:22, тогда:

iptables -t nat -A zone_lan_prerouting -p udp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -t nat -A zone_lan_prerouting -p tcp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT

iptables -t nat -A zone_lan_prerouting -p udp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
iptables -t nat -A zone_lan_prerouting -p tcp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT

iptables -t nat -A zone_lan_prerouting -p udp -m id --id 0x66773300 -m udp --dport 53 -m comment --comment family-yandex-dns -j DNAT --to-destination 192.168.1.5:65053
iptables -t nat -A zone_lan_prerouting -p tcp -m id --id 0x66773300 -m udp --dport 53 -m comment --comment family-yandex-dns -j DNAT --to-destination 192.168.1.5:65053

Т.е. сначала пропускаем (accept) всех белых без "проксирования" dns. После этого всех оставшихся (кто не белый) уже невзирая на маки "проксируем".