Instalé BINDel servicio en mi servidor centOS 8 con recursion yes;configuración. Noté que mi servidor envía un tráfico muy grande (~ 8 GB) cada hora y no pude detectar cuál es la fuente de este tráfico. luego cambié la configuración nombrada y deshabilité la recursividad:recursion no;
Después de deshabilitar la recursividad y medir el tráfico, puedo ver que el tráfico de envío ha disminuido drásticamente a menos de 200 MB. Ahora mi pregunta es: ¿cómo esta recursividad puede causar un tráfico de envío tan grande?
Respuesta1
La recursividad significa que el servidor de nombres responde cada consulta de la mejor manera, incluso para las zonas de las que no es responsable.
Es una mala idea habilitar la recursividad y permitirle responder cualquier consulta para cada cliente sin ninguna restricción, porque habrá muchos idiotas por ahí a los que les gusta usar otros servidores de nombres abiertos o incluso intentar inundar a terceros con las respuestas.
La recursión solo debe habilitarse para clientes en los que este servidor de nombres debe actuar como solucionador. Entonces, si tienes
recursion yes;
También deberías tener una restricción como:
allow-recursion { 127.0.0.1; x.x.x.x; };
y enumere todas las IP de clientes válidas.
Si este servidor de nombres no es un NS principal para nombres de dominio, también puede abrirlo para responder consultas para clientes permitidos solo con
allow-query { 127.0.0.1; x.x.x.x; };
allow-query-cache { 127.0.0.1; x.x.x.x };
Además, si este servidor de nombres sólo es responsable de unos pocos clientes, debería considerar cerrar UDP 53 y TCP 53 para todas las demás IP mediante un firewall.