BIND vulnerabilityへの対策(2)

(どうしても1000台make buidできない場合)

queryをBIND 9.2.1 namedを通して出す
/etc/resolv.confでBIND 9.2.1 namedを指す
BIND 9.2.1 namedはresponseを構築しなおす
外部からのresponseはそのまま通過しない
client -----> 9.2.1 ------> DNS server
       <-OK--       <-BAD--

NATルータ、BIND 9.2.1以外のnamedは役にたたない
responseをそのまま通すので
dig/nslookupで他のnameserverを指定すると敗ける
9.2.1 named以外のDNS query/responseはフィルタ?