Usando o Bind, é possível limitar o conjunto de portas de origem usadas para uma consulta . DNSSec à parte, restringir demais a porta de origem torna mais fácil a injeção de respostas falsas.
Se você deseja bloquear completamente, pode usar um proxy externo, como os servidores DNS do 8.8.8.8 do Google, em 8.8.8.8. Fonte única (interna). Único destino para todas as consultas. No entanto, não posso aconselhar sobre o aspecto do DNSSec.
A implementação de NTP de referência usa a porta 123 para origem e destino, mas nem toda implementação o faz. A menos que você controle o servidor upstream, você ainda não terá um emparelhamento de segurança , portanto, será necessário alcançar os servidores que estão "suficientemente" confiável. Idealmente três ou cinco. Certamente não apenas dois ("eles são diferentes, mas o que é errado"). É muito fácil encontrar servidores Stratum 3. Não é muito difícil encontrar Stratum 2s, e se você olhar é possível encontrar o acesso público Stratum 1s. (Ou você pode simplesmente rodar seu próprio receptor baseado em GPS. Eles não são excessivamente caros atualmente).