Como verificar se o encaminhamento de porta está ativado?

Acabei de configurar um servidor DNS para minha própria rede e muitos guias online sugerem garantir que o encaminhamento de porta na porta 53 não esteja ativado.

O que não está claro para mim é o seguinte: devo configurar isso no nível do roteador ou no nível do firewall? Se eu deveria fazer isso no firewall, como eu faria isso no Ubuntu Server 12.04?

Minha rede doméstica possui alguns clientes, um servidor ESXi e um roteador doméstico. Uma das VMs dentro do ESXi é o servidor DNS (executando no Ubuntu Server 12.04), usado para lidar com solicitações de DNS locais, mas também é configurado para encaminhar solicitações de IPs externos aos servidores DNS do Google.

Isso deve ser configurado em qualquer equipamento que você tenha entre o servidor DNS e o mundo externo. O encaminhamento de porta AFAIK é desativado por padrão em praticamente tudo, portanto você não deve se preocupar muito com isso. Se você estiver usando equipamentos de rede residencial, deve haver opções de configuração de encaminhamento de porta na interface da web. Para verificar as configurações de encaminhamento de porta no Ubuntu, use iptables:

$ sudo iptables -t nat -vnL

Para finalmente verificar sua rede quanto à porta encaminhada, use o netcat para conectar-se à porta via seu IP externo:

$ nc -vu [external ip] 53

Você precisará monitorar as conexões no servidor DNS para observar a conexão netcat, porque o netcat pode informar incorretamente que a conexão foi bem-sucedida devido à natureza sem estado do UDP