O seguinte comando dig no self server funciona bem. Não há uma regra de firewall no servidor relacionada a isso.
#dig @109.110.160.171 shabdiznet.com +tcp
;; communications error to 109.110.160.171#53: end of file
# netstat -lntu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN
O IP é público e você pode testar. O problema pode não estar relacionado ao firewall porque o portado está aberto de fora. O UDP funciona bem.
Este servidor foi atualizado a partir de 12.04 e não sei se foi o problema ou se é o comportamento padrão do Ubuntu 16.04.
O problema foi causado pelo dnsmasq. Na verdade, o dnsmasq estava escutando na porta 53.
/ etc / default / dnsmasq
ENABLED=0
Então
service dnsmasq stop
service bind9 restart
Resolvi meu problema.
Tags networking bind ubuntu-16.04