iptables не умеет работать по доменным именам. В пакете нет доменного имени, там есть только (утрируя): адрес отправителя, адрес адресата, порты соединения и данные. Поэтому утилита iptables, получив в качестве адреса доменное имя, в любом случае, перед добавлением правила запросит у DNS IP-адрес.
А вообще... вникни в работу ядерного брандмауера управляемого iptables. ссылку я уже дал, да и гугл немало ещё толковых описаний подбросит.
Разберёшь как это работает и сразу всё поймёшь. И как настроить и как на грабли не наступать. То же решение AnrDaemonа подходит только при использовании IP-адреса и не предусматривает работу с DNS.
Пользователь решил продолжить мысль 30 Декабря 2010, 22:33:36:
Ну чтобы ты не мучился, почему у тебя при вводе в разном порядке ведёт себя по разному, поясню: если ты сначала всё DROP-аешь, то и утилита iptables при запросе IP-адреса(ов) ya.ru не может пробиться к DNS -серверу благодаря своим же запретам.