permit tcp any any eq domain
permit udp any any eq domain

Т.е. фильтруешь по порту получателя, он то фиксированный

Блин... написал действующие рулезы с фаэрвола.

Клиентский port произвольный, но серверный port всегда domain = 53
Соответственно у пакета есь source port и destination port. Т.к клиентский порт выбирается системой наугад, фильтруй по порту сервера, что я и написал.

ЗЫ Под получателем я имел ввиду сервер что не совсем корректно, но сейчас я полагаю должно быть понятно
ЗЗЫ Ествественно этот рулез на исходящий траффик, на входящий тоже надо подобные но зеркалированные.

Че то я не понял у ISP стоит firewall, а ты как с ним связан?
по выделенке чтоль? Так у тебя самого должен стоять firewall а на нем ты пишешь вышеуказанную ботву.

это я жуе видел, соединение "твой комп", провайдер какое?
что вообще это такое "твой комп"? это бэк энд сервер?

ну вооот, так я и думал.
Начит так, на вашем этом серваке _обязательно_ должен стоять proxy+firewall
ибо иначе нельзя.

А на нем должно быть следующее, поскольку хрен знает что вы туда поставите напишу логически:

1. Входящий траффик:

разрешать входящий UDP с порта 53 обращающегося серевера/ов
разрешать входящий TCP с порта 53 обращающегося серевера/ов
разрешить ICMP в обе стороны
запретить все остальное

у cisco это выглядит так:

permit udp any host <ip адрес внешнего интерфейса вашего сервера> eq domain
permit tcp any host <ip адрес внешнего интерфейса вашего сервера> eq domain
permit icmp any any
deny any any
последнее, для cisco анахронизм :)

2. Исходящий траффик


разрешить ICMP в обе стороны
разрешить исходящий TCP на 53 порт удаленного сервера
разрешить исходящий UDP на 53 порт удаленного сервера
запретить все остальное

cisco:
permit udp host <ip адрес внешнего интерфейса вашего сервера> any eq domain
permit tcp host <ip адрес внешнего интерфейса вашего сервера> any eq domain
permit icmp any any
deny any any