請教有關DNS的recursion的設定 - Linux

想請教各位一個問題

昨天因為發現公司的一台對外DNS Server(Master)處在Open Recursion的狀態

因此在/etc/bind/named.config.options的檔案中加上了 recusion no; 的指令

在重新啟動bind以後 使用外部的一台xp系統的電腦

用nslookup指令到此台DNS查詢tw.yahoo.com是否會回應時

發現會出現

- B.ROOT-SERVERS.NET


- C.ROOT-SERVERS.NET


- D.ROOT-SERVERS.NET


- E.ROOT-SERVERS.NET


- F.ROOT-SERVERS.NET


- G.ROOT-SERVERS.NET


- H.ROOT-SERVERS.NET


- I.ROOT-SERVERS.NET


- J.ROOT-SERVERS.NET


- K.ROOT-SERVERS.NET

的訊息,而另外一台Slave的DNS主機在做同樣的查詢時則是出現

*** xxx.xxx.xxx.tw can't find tw.yahoo.com: Query refused

這樣的情況

雖然Open recusion已經關閉了 可是當外部在查詢非主機上所設定的網址時

會回應這樣的root hint感覺還是很危險

想請教一下這樣的訊息是否可以關閉

可以像slave 的DNS Server一樣只回應 Query refused的訊息?

P.S 使用的DNS版本為Bind 9.3.4 Linux為centOS

謝謝大家了

--