我在 BIND 上运行了一个“隐藏的主要主机”DNS 设置,因此只有次要主机对外界可见。防火墙当前允许从 Internet 到辅助节点上的 udp/53 和 tcp/53 的流量,一切似乎都正常。
然而,每天,我都会看到大量来自与我无关的外部地址的“拒绝来自非主服务器的通知”日志条目。我明白那里的日志条目告诉我什么,但我不想在我的日志中包含所有这些“噪音”。
由于只有辅助设备面向 Internet,我是否可以安全地拒绝来自 Internet 的 tcp/53 流量以防止“拒绝来自非主设备的通知”条目,或者是否有充分的理由允许 tcp/53 流量流向辅助设备?master 在同一防火墙后面,不会受到此防火墙更改的影响。