如何将Bind9配置为仅作为转发器？

Question

我需要配置一个DNS转发器服务器，到目前为止，我已经在这教程中遇到了困难。请参见下面的配置。我的问题是，我不想阻止客户端(即goodclients)访问服务器，因为我计划在域名NS记录中发布它。问题是如何以安全的方式将其配置为仅用于转发(而不是查询)？基本上，我想使用转发器作为“虚荣心”服务器，而不存在本文中提到的DDOS的风险。

acl goodclients {
        107.170.41.189;
        localhost;
        localnets;
};

options {
        directory "/var/cache/bind";

        recursion yes;
        allow-query { goodclients; };

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };
        forward only;

        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Answer 1

如果我正确地理解了您的问题，即您只是希望允许来自所有客户端的查询，而只允许对选择的网络进行递归/转发，那么您可能实际上并不想首先设置allow-query，而是设置allow-recursion。

关于allow-*设置的官方手册(链接)非常值得一读，特别是默认设置和这些设置是如何交互的。