In Chrome kunnen lookups inderdaad naar een zelf-opgegeven DNS-server verzonden worden. Dergelijk verkeer kan inderdaad gemakkelijk worden geblokkeerd met een degelijke firewall, of het kan worden herschreven met een (S)NAT-regel.
Verder is een DoH-functie (DNS over HTTPS) aanwezig, waarmee lookups als regulier HTTPS-verkeer verzonden worden. Dit komt de privacy en beveiliging ten goede voor de eindgebruiker, maar is lastiger te blokkeren voor de netwerkbeheerder, dit vereist een L7 firewall.
Voor zover ik weet wordt/worden in de standaardconfiguratie wel de via DHCP verkregen DNS-server(s) aangesproken, maar indien mogelijk wordt DoH gebruikt.