今回、100% iptables の仕業だとわかったところがもう一つあった。
一度、現状の iptables を全てクリアして SNAT (ip masquerade) のみを可動させるときちんとアクセス出来るじゃないか!こりゃおったまげた。なんで今まで気付かなかったのか。
取り敢えずフィルタを一つずつ探るしかなかった。最初はマジにフィルタの問題かと思ったが実際はフィルタとは違うところにあった。フィルタとより、初期化の問題だった。はじめはグループでコメントアウトさせていたが、どれも当てはまらなかったので仕方なくしらみ潰しした。そこで初期化だと判明。
旧: $IPTABLES -A INPUT -i $EXTIF -s 0.0.0.0/4 -j DROP
新: $IPTABLES -A INPUT -i $EXTIF -s 0.0.0.0 -j DROP
そう!「/4」が問題だった。でも HP.COM のアドレスって 15.x.x.x のクラスAで/4でも大丈夫のはずと思っていたが、引っかかっていたんだ。あちゃ〜!色んな参考書通りに 0.0.0.0/4 にしろと書いてあったので、そのクラスは大丈夫かと信じていたがやはりアカン!全て疑ってかかれってヤツだ。良い教訓。でも解決した。
djbdns の DNS 問題じゃなかったw hp.com を正引き出来るようになった。バンザーイ!