Adicional a lo mencionado por Luis, yo agregaria el puerto TCP 53, ya que los DNS utilizan TCP y UDP 53

access-list 100 TCP deny host 192.168.3.3 host 192.168.5.1 eq domain

Por ultimo revisa que tus computadores y servidores tengan configurado el gateway correcto.

Saludos

Justamente coincido con Luis y Julio es necesario tomar en cuenta que una ACL extendida te permite mayores especificaciones, para el caso del DNS es necesario verificar el protocolo y el puerto al que este esta referenciado. Dejo el link de los puertos registrados por la IANA: https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?search=domain.

Puedes lograrlo a través del número de puerto:

0-2(config)# access-list 150 tcp deny host 192.168.3.3 host 192.168.5.1 eq 53

Tambien podrias ser:

0-2(config)# access-list 150 udp deny host 192.168.3.3 host 192.168.5.1 eq 53

Por último, ingresar a la interface del Router 0-2 y colocas la ACL como entrada:

0-2(config-if)# ip access-group 150 in

NOTA: el Puerto 53 hace referencia al servicio DOMAIN, deberías de revisar porque la mayoría de los servicios manejan la infraestructura cliente servidor, y los puertos están dados en ese orden. Es una buena ayuda consultar el sitio oficial de la IANA (Autoridad de Números Asignados en Internet).