一个自建 DNS 服务器的问题想问一下大家

一共有两台服务器，一台阿里云美西，装了 RouterOS，跑 L2TP Server，Allow DNS Remote Request，安全组规则全开放。Ros 防火墙设置了个 5353 -> 53 的端口转发。

一台阿里云上海，Centos，装了 Dnsmasq，配合 dnsmasq-china-list，国内域名向本地电信 DNS 服务器查询，其他域名向阿里云美西 5353 端口查询。

后来接到阿里云的通知邮件，告诉我美西服务器有 Malicious Traffic 让我处理。于是安全组规则设置了 5353 和 53 端口，UDP 类型，仅允许阿里云上海访问。

问题来了，这样设置之后在阿里云上海用 Dig 命令查询，返回结果总是

[root@xxxxxx ~]# dig www.google.com @美西服务器地址 -p 5353

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> www.google.com @美西服务器地址 -p 5353
;; global options: +cmd
;; connection timed out; no servers could be reached

美西服务器安全组规则设置成 0.0.0.0/0 全部允许后，就能正常查询到。

[root@xxxxxx ~]# dig www.google.com @美西服务器地址 -p 5353

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> www.google.com @美西服务器地址 -p 5353
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61735
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.                        IN      A

;; ANSWER SECTION:
www.google.com.         33      IN      A       172.217.0.36

;; Query time: 192 msec
;; SERVER: 美西服务器地址#5353(美西服务器地址)
;; WHEN: Fri Mar 23 12:27:22 CST 2018
;; MSG SIZE  rcvd: 48

所以，我是哪里遗漏了什么？

感谢指点。