嘿，我刚好折腾过类似的dnsmasq配置，完全能用单实例搞定你的需求，不用拆分服务或者弱化DHCP功能！核心就是利用dnsmasq支持基于客户端IP子网的条件规则，既保留它的DNS+DHCP核心功能，又能实现你要的差异化配置。

核心配置思路 #

dnsmasq允许给server=（DNS转发）和address=（访问限制）指令加上子网限定，匹配来自指定子网的请求时触发对应的规则。同时开启--local-service确保只响应本地信任子网的请求，避免外部滥用。

1. 基础配置：启用本地服务模式 #

先在dnsmasq配置里加上这个参数，确保dnsmasq只处理来自你本地子网的请求，防止外部机器蹭DNS：

--local-service

同时指定dnsmasq监听的内网接口（避免监听公网接口）：

interface=eth0  # 替换成你的内网接口名
interface=eth1

2. 基于子网的DNS转发配置 #

用server=<DNS服务器IP>@<客户端子网>格式，给不同子网分配专属上游DNS：

• 让192.168.1.0/24子网用Google DNS：

server=8.8.8.8@192.168.1.0/24
server=8.8.4.4@192.168.1.0/24

• 让192.168.2.0/24子网用Cloudflare反恶意软件DNS：

server=1.1.1.2@192.168.2.0/24
server=1.0.0.2@192.168.2.0/24

如果需要给某个子网指定特定域名的专属DNS（比如内网域名走本地DNS），可以加上域名前缀：

# 192.168.3.0/24子网访问internal.com时走内网DNS 192.168.0.1
server=/internal.com/192.168.0.1@192.168.3.0/24

3. 基于子网的访问限制（address声明） #

同样给address=加上子网限定，实现指定子网的域名拦截/重定向：

• 禁止192.168.3.0/24子网访问恶意域名malware.example.com：

address=/malware.example.com/0.0.0.0@192.168.3.0/24

• 把该子网的所有广告域名重定向到本地过滤服务（比如192.168.0.100）：

address=/ad.example.com/192.168.0.100@192.168.3.0/24

4. 优化与验证 #

• 关闭默认上游DNS：如果不想让未匹配子网的请求走系统默认DNS，加上no-resolv参数，这样只有你配置的规则生效，未匹配的请求会返回NXDOMAIN：

no-resolv

• 检查配置语法：用dnsmasq --test命令验证配置文件有没有语法错误：

dnsmasq --test -C /etc/dnsmasq.conf

• 重启服务生效：

systemctl restart dnsmasq  # Systemd系统
# 或者
service dnsmasq restart    # SysVinit系统

为什么这个方案适合你？ #

• 不用给DHCP客户端指定外部DNS：所有客户端统一用dnsmasq作为DNS服务器，你可以通过防火墙限制53端口，只允许客户端访问本机dnsmasq，彻底杜绝硬编码外部DNS的问题。
• 单实例运行：完全兼容系统默认的配置文件（比如/etc/dnsmasq.conf或/etc/dnsmasq.d/下的分片配置），不用自定义启动脚本，维护成本低。

内容的提问来源于stack exchange，提问作者dvrhax