DNS（BIND）の設定について

教えてください。

named.confの設定と思いますが、
allow-queryやallow-recursion又、recursion yesもしくはnoなどの設定が
あります。
これらはどのような設定をする為のものか、教えていただけないでしょうか。
どのような違いがあるのでしょうか？
それぞれ設定する上で関係することがあるのでしょうか？

DNSサーバを設置している環境や用途は以下の通りです。

プライマリのDNSサーバを社内に立てます。
セカンダリサーバはプロバイダ側で用意します。
サーバを公開するのと、会社内のPCがインターネットへ出れるようにしたいです。（プロキシ経由）

とりあえずallow-recursionだけ社内のPCが存在しているローカルセグメントを
書いて設定しました。

allow-queryやrecursionの設定はどのようにすればいいのでしょうか？
すみません。よろしくお願いします。

No.2 ベストアンサー 回答者： entree 回答日時： 2014/01/29 23:29

named.confで２つのviewを記述する。

- 会社内のPCが使用するためのview
- インターネット上のPCがymoshimoshiさんの会社のドメインを検索するためのview

前者の設定は下記のとおり。
- allow-queryに会社のネットワークアドレス/マスクを指定し、社外のPCがアクセス出来ないようにする。
- recursion yesを設定し、ymoshimoshiさんの会社のドメインに対する問い合わせ（例えば、okwave.jpの名前解決など）にも回答できるようにする。

前者の設定は下記のとおり。
- allow-queryにanyを設定し、インターネット上の任意のPCが、ymoshimoshiさんの会社のドメインを検索できるようにする。
- recursion noを設定し、ymoshimoshiさんの会社のドメイン以外（okwave.jpの名前解決など）に対する問合せには回答しないようにする。

No.1 回答者： lowrider_2005 回答日時： 2014/01/29 17:03

簡単にいえば、オープンリゾルバを作らないための設定です。

権威サーバなのかキャッシュサーバなのかによっても設定は異なります。
このあたりから参照ください。
https://www.nic.ad.jp/ja/dns/openresolver/
http://www.openresolver.jp/

最近オープンリゾルバを悪用した攻撃が非常に増えています。
踏み台にされませんようくれぐれもご注意ください。

なお社内PCがプロキシ経由で外に出られるかどうかはDNSサーバとは関係ありません。