BINDCentOS 8 サーバーに構成付きでサービスをインストールしましたrecursion yes;。サーバーから毎時間非常に大きなトラフィック (約 8 GB) が送信されていることに気付きましたが、このトラフィックのソースを検出できませんでした。そこで、名前付き構成を変更し、再帰を無効にしました。recursion no;
再帰を無効にしてトラフィックを測定したところ、送信トラフィックが 200 MB 未満に劇的に減少していることがわかりました。ここでの疑問は、この再帰によってどのようにしてこのような大量の送信トラフィックが発生するのかということです。
答え1
再帰とは、ネームサーバーが、担当していないゾーンに対しても、すべてのクエリに最善を尽くして応答することを意味します。
再帰を有効にして、あらゆるクライアントのあらゆるクエリに何の制限もなく回答できるようにするのは悪い考えです。なぜなら、他のオープンネームサーバーを使用したり、回答を第三者に大量に送信しようとする愚か者が世の中にはたくさんいるからです。
再帰は、このネームサーバーがリゾルバーとして確認する必要があるクライアントに対してのみ有効にする必要があります。
recursion yes;
次のような制限も必要です:
allow-recursion { 127.0.0.1; x.x.x.x; };
有効なクライアント IP をすべて一覧表示します。
このネームサーバーがドメイン名のプライマリNSでない場合は、許可されたクライアントのクエリにのみ応答するように開くこともできます。
allow-query { 127.0.0.1; x.x.x.x; };
allow-query-cache { 127.0.0.1; x.x.x.x };
さらに、このネームサーバーが少数のクライアントのみを担当している場合は、ファイアウォールを使用して他のすべての IP に対して UDP 53 と TCP 53 を閉じることを検討する必要があります。