В named.conf в разделе options:
allow-query {any; }
allow-recursion { mynet; }
mynet в acl определен.
В разделе loggins определена category security
c channel debug, который определяет файл sec.log с уровнем логирования debug.1
Пока named работал только на почту, все было нормально, в sec.log за неделю появлялось не более 2-3 типа с указанием ip и recursion denied.
Но стоило сделать этот хост основным named'ом,
файл sec.log заполняется на глазах. Причем в указанных в этом файле ip-aдресах проскакивает и 53 порт, то есть отвергается запрос и от named-серверов.
Подскажите, может, я не понимаю, что есть recursion и нельзя ее запрещать?
По мануалу выходит, что запрещая кому попало (кроме моих юзеров) отвечать на рекурсивные запросы, я запрещаю своему намеду делать всю работу по обработке запроса в том случае, если он не имеет в своих зонах или в кэше искомый ответ:
"If recursion yes and dns query requests recursion, then the server will attempt to do all the work required to answer the query. If recursion is off and the server does not already know the answer, it will return a refferal response"
Вроде все верно, но этот sec.log мне не нравится, похоже мой named отвергает любые запросы от не моих клиентов?
Не может же такое количество сторонних dns-серверов делать forward моему серверу?