そうでしたquery-sourceでした

研究室のリゾルバ（BIND9）は普段、親玉のサーバを見るようにforwarders設定しているのだけれど、ちょっとした実験のためにforwarders設定を止めることにした。

ところが、ルータのファイアウォール設定を（53番ポートについて）開けても、応答が帰ってこない。学生と一緒に変だ変だと悩んでいたのだけど、いろいろ調べてquery-sourceっつー設定があることに気づいた。

古いBINDだと問い合わせは53番ポートを介すため、INBOUNDの53番を開けておけばOKだった。ところが新しいBINDでは問い合わせにランダムな非特権ポートを使う標準設定になったので、開ける場所が特定できない。ということで、query-sourceを使ってポートを固定し、そこをファイアウォールで開けた。うまくいくじゃん、良かった良かった。

【Feb.04, 2010追記】
これはあくまでファイアウォールがBINDのport randomizationに対応していない場合、かつ実験用ということで。常時運用の場合、キャッシュポイズニング対策のためにもポートを固定すべきではありません。