Сделал тестовую версию скриптов для работы по сценарию, когда на домашнем роутере OPNSense поднят VPN, и через него необходимо отправлять только заблокированные ресурсы.
Возможно будет работать и со штатным DNSMasq, но у меня не все запросы доходили до dnsproxy, даже с лимитами в 250000 forward. Собрал из портов knot-resolver и пользуюсь им.