オープンリゾルバにはしない方がいいよね

年末にVPSを借りているDTIから
“DNSサーバーの起動状態確認と設定見直しのお願い”
なるメールを受け取りました。
要は必要もないのにオープンリゾルバにするなよという常識的な話です。
DNSサーバはもう10年以上運用経験があり技術的にも明るい分野なのですが、
改めて指摘されてVPSで無警戒だったことに気付きました。間が抜けた話です。
慌てて設定ファイル”/etc/bind/named.conf.options”のoptions内に

recursion no;

を加えました。
もし企業なんかでキャッシュサーバとしても使いたければ
allow-recursionで受付許可するIPアドレスを書いておけばいいのですが、
普通はVPSでそんなことをすることはないでしょうし、
IPアドレスが非固定どころかプライベートIPアドレスしかくれないような
接続サービスが多くなるなか実用的ではないでしょう。
いざと言うときはGoogle Public DNS(8.8.8.8, 8.8.4.4)を設定すれば何とかなるので
プライベートなキャッシュサーバの必要性は低くなっていると思います。
まあlocalhostからの要求は許可しておいてもいいかもしれません。

ところで権威DNSサーバで名前解決のリクエストが発行された
キャッシュサーバのIPアドレスによって返答するIPアドレスを変え、
ネットワーク的に近い配信サーバを紹介する
CDN(コンテンツデリバリーネットワーク)なんてシステムもあり、
この場合ISPから指定されたDNSサーバを設定しておくことに意義があったりします。
とりあえずGoogle Public DNSを利用することは私もあるのですが、
常用すべきではないということになります。
DNSサーバは数字だけで覚えておくのも面倒ですが、
自分のためにもネットワーク屋さんのためにもきちんと設定しましょう。