EDIT : Mon post par du principe que c'est le serveur DNS du routeur qui répond, pas un éventuel serveur interne à ton réseau. Si c'est un interne à ton réseau, supprime juste la règle de nat qui permet d'y accéder.
Post :
Oui j'y arrive, ça veut dire que tu n'as pas sécurisé l'accès à ton routeur depuis l'extérieur. Du coup, ton serveur dns du CCR1009 (qui doit te servir en interne je suppose) est aussi accessible depuis l'extérieur.
Pour le sécurisé, le principe est toujours le même.
1) Tu définies les règles que tu veux sépcifiquement autoriser
2) tu fais ensuite une règle qui drop tout le reste.
Pour la partie accès au routeur (et je parle bien du routeur, pas des machines derrières, j'ai ça chez moi, c'est assez générique :
EDIT : remove car pas des erreurs lors du post.
Avec les commentaires tu devrais comprendre le principe
Dans mon cas, la dernière ligne de drop est un peu redondante avec l'avant dernière, mais par sécurité, toujours finir par un drop