关于限制递归查询的问题

nkvoid

在option中 增加了allow-recursion {xxx.xxx.xx/xx;};
只允许我单位内的ip进行递归查询。因为我们单位还有子域服务器，
我单位以外的ip(就是被限制使用递归查询的主机)能解析我的域内的域名但是子域服务器上的域名能被解析吗？

阿骁

可以的，你试试就知道了呀！

nkvoid

不可以的

我是这样测试的
在被限制使用递归查询的主机上用nslookup：不能解析出子域中设置的域名ip(当然它可以解析出本域的域名)；用dig 倒是可以解析出来
；但是ping子域中的域名就不行，当然结果用ie 浏览也是不行的
                                                   
我的结论是：如果有子域的域名服务器就不能限制递归查询了，否则被限制的主机无法访问子域定义域名的网站。
想限制只能在option中用“allow-query {xx.xxx.xx/xx;}”当然还得在各个zone中加“allow-query {any;}”这样才能达到本单位以外的ip不能用我的dns做域名服务器，但是他们能访问我的域内包括子域的域名。
我已经成功做了这个测试。

斑竹，不知我的结论是否正确。

阿骁

这里要弄清楚客户端使用的 DNS 服务器是哪个才好！

假设你的父 dns 服务器是 ns1，子 dns 服务器是 ns2。你单位外的 IP 地址的客户端如果使用 ns1 作为它的 dns 服务器的话，当然无法解析子域的主机，因为客户端只能得到子域的 ns 记录；如果使用其他 dns 服务器作为其客户端的 dns 服务器，那么肯定可以解析你的子域主机。而你单位外的ip地址肯定不会用你单位的 ns1 作为它的 dns 服务器吧。

abel

嗯~不錯哦
您做了研究,大概就可以理解
若您指定了 DNS Server 在您的該部 DNS 上:
來的 IP 非遞歸, 您的 DNS 只會回應子網域的 NS 記錄
來的 IP 遞歸,您的 DNS 會回應結果

若您指定了 DNS Server 在您的在外部其他 DNS 上:
來的 IP 非遞歸, 您的 DNS 只會回應子網域的 NS 記錄,外部DNS 看到非遞歸的回應,得到 NS ,會再問一次
來的 IP 遞歸,您的 DNS 為會外部 DNS 找出結果,回應給外部 DNS

nkvoid

明白了，非常感谢两位的回答：））

不过还要再问一个问题，为了提高本单位服务器的安全还有性能，是做递归限制好呢，还是做allow-query限制好呢？

阿骁

递归限制做起来简单一些吧!

nkvoid

经过我一天的测试发现：如果做限制递归的话，被限制的主机还是可以通过我的dns的缓存来解析的。这就说明被限制的主机还是可以访问我的dns的缓存的，过多的主机访问我的缓存，对我的dns性能影响大吗？
我发现有些电信的dns例如 202.99.96.88就限制的很严格，被限制的主机连他的缓存都不能用。他们是不是就是用allow-query来限制的？？

斑竹大人我再问其他的一个问题：
cache only 与 主域名服务器的关系：
我们已经有主辅余名服务器了，还有必要作cache only吗？
通过看cache only的设置，我觉得一个主余名服务器应该包括cache only的功能吧，难道cache only比一台主域名服务器的缓存功能强大很多？？？

呵呵，我是一个初学者可能问的比较罗索，希望斑竹和各位大侠谅解亚。

阿骁

不错哦~ 有研究的嘛~

先回答你第二个问题吧，cache only 其实就是一台不负责解析任何授权域的 dns 服务器，而 master 和 slave 服务器上则需要负责解析授权域和 维护一个 dns cache 。所以 cache only 并没有比 master 功能上大多少，只是没负责解析授权域而已。

至于该限制用户的递归查询还是限制 query 的问题我想还是要看你们公司自己定制的策略。我想你可以通过 dns logging 监控几天，看看都是哪些用户通过你的 dns 来解析域名在做决定。bind 的性能与机器的硬件配置和用户的访问数有很大的关系，所以需要通过监控本机的状况来决定。

nkvoid

谢谢斑竹大人的回答：我监测一下dns loging再说了。。。。。。。