先日上記のような記事を書いたのですが、上記だけでも解決しなかったので追記。
Security of the Recursor
上記を参考にしながら設定しなおしたと書きましたが、どうやらAnti-spoofingにも引っかかっていたようで、こちらでqueryを制御?されてしまうようでした。
なので、spoof-nearmiss-max=0
にして機能そのものを無効化することで対処しました。
ということで以下の様な感じの設定に変更しました。
any-to-tcp=yes
local-address=<適宜>
logging-facility=0
max-mthreads=2048
query-local-address=0.0.0.0
query-local-address6=::
remotes-ringbuffer-entries=300
server-down-max-fails=0
server-down-throttle-time=1
setgid=pdns-recursor
setuid=pdns-recursor
spoof-nearmiss-max=0
もう片方のUnboundではこのような挙動はしていないのですが、両者の動作にどのような違いがあるんですかね・・・
これは本格的にコードを読まないといけない事案なんでしょうか・・・
あとこれはDoS対策としての機能を無効化しているので、運用については充分に注意して設定するようにしてください。