<html><body><div style="color:#000; background-color:#fff; font-family:tahoma, new york, times, serif;font-size:10pt">Packet dumps at your edge would likely be helpful to your diagnosis.<br><br>At your firewall (or other edge appliance) you are seeing successful UDP from a high port on your system (DNS client) to port 53 on the server and a reply in the opposite direction.  You are not seeing success from an external client high port to 53 to on your server.<br><br>The two operations are absolutely disjoint when you deal with firewall tuples.<br><br>Hope this helps,<br><br>Len<br><div><span><br></span></div><div style="color: rgb(0, 0, 0); font-size: 13.3333px; font-family: tahoma,new york,times,serif; background-color: transparent; font-style: normal;"><br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; margin-top: 5px; padding-left: 5px;">  <div style="font-family: tahoma, new york, times, serif; font-size: 10pt;">
 <div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"> <div dir="ltr"> <font face="Arial" size="2"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> Daniele <d.imbrogino@gmail.com><br> <b><span style="font-weight: bold;">To:</span></b> bind-users@lists.isc.org <br> <b><span style="font-weight: bold;">Sent:</span></b> Monday, January 14, 2013 1:44 AM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: lame-servers: error (FORMERR) resolving [something]<br> </font> </div> <br><meta http-equiv="x-dns-prefetch-control" content="off"><div id="yiv463399376"><div dir="ltr">What tests should I do?<div style="">If I query directly an external name-server (one of the root ones or 8.8.8.8 for example) I receive the correct response.</div><div style="">For this reason I'm inclined to think that the router doesn't block packets to/from port 53.<br>
Why should it block packets generated by BIND9?</div></div> </div></div> </div> </blockquote></div>   </div></body></html>