ошибки named

allow-query { any; }; # это нормально, если сервер поднимается для поддержки доменов. другие клиенты будут спрашивать и должны получать ответ для этих доменов.

recursion no; # - убрать

поставить :

allow-recursion { 127.0.0.1; };

Полностью ошибки query (cache) denied это НЕ погасит. Однако ошибки при самых частых запросах 127.0.0.1 не будут возникать.

Данная ошибка свидетельствует о неправильной настройке клиента или домена или cache poisoning атаке.

Тут вопрос неоднозначный нужно ли ее вообще гасить. Я сначала не заметил 127.0.0.1 и агитировал за то чтобы вообще ничего не делать.

@netwind а что мещает allow-query-cache добавить что-бы убрать сообщения query (cache) denied ? :)

ага. спасибо. попробую исправить конфиг.

coolwebsearcher, bind ругается специально чтобы сигнализировать о потенциальной проблеме. Это не нормальная ситуация и, как видим, ТС даже решил принять меры.

при таких опциях получится забивание кеша неклиентами и прочие потенциально ненужные запросы.

@netwind named сообщает о том, что запись есть в кэше, но named ее не выдаст, так как начиная с версии BIND 9.4.1-P1 изменились дефолтные значения

allow-recursion

allow-query

allow-query-cache

я обычно ставлю

allow-query { any; };

allow-query-cache { any; };

а вот allow-recursion только для трастед сетей.

В этом случае, если запрос приходит с ип которого нет в трастед сетях, и такого запроса нет в кэше, то выдается пустой ответ.

Если ип есть в трастед сетях - то днс работает в режиме кэширования.

allow-query-cache конечно можно прописать только для трастед сетей, но считаю это излишним, так как кому интересно, что у меня в кэше (помним что рекурсивные запросы только для трастед).

coolwebsearcher, пожалуй, безопасно, но лишаете себя возможности увидеть в логах потенциальную проблему.

Какую именно проблему? :-)

Еще раз внимательно читаем, что делает данная опция.

coolwebsearcher, любую проблему. ТС не выключал и увидел свою проблему.