Настраиваю связь между внешним и внутренним (находится за NAT)
DNS-серверами и возникла такая странная проблема.

Запросы с внешней сети во внутреннюю проходят нормально, DNS-сервер
отвечает. Однако возвращаются не все -- в зависимости от того, какой
именно адрес запрашивался.

Запросы происходят, скажем, с адреса 111.22.33.44 (mail.domain.ru) к
111.22.33.55, который транслируется маршрутизатором во внутренний адрес
192.168.1.1 (адреса и доменные имена изменены):


$ dig @111.22.33.55 domain.ru
Запрос проходит нормально.

Вывод tcpdump на DNS-сервере:

10:27:31.661794 IP 111.22.33.44.38180 > 192.168.1.1.domain: 28204+
A? domain.ru. (25)
10:27:31.665591 IP 192.168.1.1.domain > 111.22.33.44.38180: 28204*
1/1/1 A 111.22.33.42 (74)


$ dig @111.22.33.55 mail.domain.ru
Запрос не проходит, таймаут.

Вывод tcpdump на DNS-сервере:

10:28:08.166584 IP 111.22.33.44.38478 > 192.168.1.1.domain: 34167+
A? mail.domain.ru. (30)
10:28:08.170754 IP 192.168.1.1.domain > 111.22.33.44.38478: 34167*
1/1/1 A 111.22.33.44 (79)
10:28:08.172725 IP 192.168.9.1 > 192.168.1.1: ICMP host 111.22.33.44
unreachable, length 36
(Здесь 192.168.9.1 -- один из адресов маршрутизатора,)


Почему так может быть? Где вообще искать проблему?