¿Cómo verificar si el reenvío de puertos está habilitado?

Acabo de configurar un servidor DNS para mi propia red, y muchas guías en línea sugieren asegurarse de que el reenvío de puertos en el puerto 53 no esté habilitado.

Lo que no me queda claro es esto: ¿debería configurar esto en el nivel del enrutador o en el nivel del firewall? Si debo hacer esto en el firewall, ¿cómo lo haría en un Ubuntu Server 12.04?

Mi red doméstica tiene algunos clientes, un servidor ESXi y un enrutador doméstico. Una de las máquinas virtuales dentro de ESXi es el servidor DNS (que se ejecuta en Ubuntu Server 12.04) que se usa para manejar solicitudes DNS locales pero también está configurado para reenviar solicitudes de IP externas a los servidores DNS de Google.

Esto debe configurarse en cualquier equipo que tenga entre el servidor DNS y el mundo exterior. El reenvío de puertos AFAIK está deshabilitado de forma predeterminada en casi todo, por lo que no debe preocuparse demasiado por eso. Si está utilizando un equipo de red residencial, debe haber opciones de configuración de reenvío de puertos en la interfaz web. Para verificar la configuración de reenvío de puertos en Ubuntu, use iptables:

$ sudo iptables -t nat -vnL

Para verificar en última instancia su red para el puerto reenviado, use netcat para conectarse al puerto a través de su IP externa:

$ nc -vu [external ip] 53

Tendrá que monitorear las conexiones en el servidor DNS para observar la conexión de netcat porque netcat puede informar incorrectamente que la conexión fue exitosa debido a la naturaleza sin estado de UDP