
<div dir="ltr">I think the problem with a "DNS appliance" is that it  becomes an open DNS resolver, unless it is configured to know the subnet(s) used internally, and updated every time that changes.  I don't think the firewall could reasonably be asked to block only recursive DNS traffic, although perhaps it could block all inbound DNS requests, except to an internal authoritative DNS if you had one.  I cannot think of any other simple workaround.  Users are likely to find some way to "turn off" the recursion limiting anyway, like setting the internal subnet to <a href="http://0.0.0.0/0">0.0.0.0/0</a>, which "solves" their problem of updating it when subnets change, but leaves it open to the world.<div class="gmail_extra">

<div><br>-- <br>Bob Harold<br>DNS and DHCP, University of Michigan</div><div>(disclaimer: not an official spokesman)</div>

<br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Date: Wed, 16 Oct 2013 13:14:06 +0300<br>

From: Daniel Kalchev <<a href="mailto:daniel@digsys.bg">daniel@digsys.bg</a>><br>

To: <a href="mailto:dns-operations@mail.dns-oarc.net">dns-operations@mail.dns-oarc.net</a><br>

Subject: Re: [dns-operations] Should medium-sized companies run their<br>

        own recursive resolver?<br>

Message-ID: <<a href="mailto:525E66EE.9050001@digsys.bg">525E66EE.9050001@digsys.bg</a>><br>

Content-Type: text/plain; charset=windows-1252; format=flowed<br>

<br>

<br>

On 14.10.13 21:46, Doug Barton wrote:<br>

><br>

><br>

> We of the DNS literati tend to forget just how difficult this stuff<br>

> really is, and how hard it is for companies to prioritize spending<br>

> money on things that usually "just work." I can't count the number of<br>

> times I got "emergency" calls when I was consulting about how some<br>

> enterprise needed my help right away because "the Internet is down"<br>

> ... only to get a call 30 minutes later letting me know I wasn't<br>

> needed because someone accidentally rebooted the right thing and now<br>

> "the Internet" is working again. They don't care, and they don't<br>

> *want* to care. They just want it to work.<br>

><br>

><br>

<br>

Very true.<br>

<br>

The solution is to turn DNS resolves to appliances, with clear labels<br>

"DNS resolver". Then we can leave the task of restarting the appliance<br>

to whoever needs Internet there. Just as they will do with any other<br>

device which has power switch or cord.<br>

<br>

Adding a label "no user serviceable parts inside, in case of malfunction<br>

call ... " will help further.<br>

<br>

For those who do not pretend to be ignorant, setting up and<br>

"maintaining" recursive DNS resolver is trivial.<br>

<br>

By the way, 10% is ok. ;-)<br>

<br>

Daniel<br></blockquote><div> </div></div></div></div>