Instalei BINDo serviço no meu servidor centOS 8 com recursion yes;configuração. Percebi que um tráfego muito grande (~8 GB) está sendo enviado do meu servidor a cada hora e não consegui detectar qual é a origem desse tráfego. então mudei a configuração nomeada e desabilitei a recursão:recursion no;
depois de desabilitar a recursão e medir o tráfego, posso ver que o tráfego de envio caiu drasticamente para menos de 200 MB. agora minha pergunta é como essa recursão pode causar um tráfego de envio tão grande?!
Responder1
recursão significa que o servidor de nomes está respondendo da melhor maneira possível a todas as consultas, mesmo em zonas pelas quais ele não é responsável.
É uma má ideia habilitar a recursão e deixá-lo responder qualquer consulta para cada cliente sem qualquer restrição, porque haverá muitos idiotas por aí, que gostam de usar outros servidores de nomes abertos ou até mesmo tentar inundar terceiros com as respostas.
a recursão só deve ser habilitada para clientes que este servidor de nomes precisa ser confirmado como um resolvedor. Então, se você tiver
recursion yes;
você também deve ter uma restrição como:
allow-recursion { 127.0.0.1; x.x.x.x; };
e liste todos os IPs de clientes válidos.
Se este servidor de nomes não for um NS primário para nomes de domínio, você também poderá abri-lo para responder a consultas de clientes permitidos apenas com
allow-query { 127.0.0.1; x.x.x.x; };
allow-query-cache { 127.0.0.1; x.x.x.x };
Além disso, se este servidor de nomes for responsável apenas por alguns clientes, você deve considerar fechar o UDP 53 e o TCP 53 para todos os outros IPs usando um firewall.