bindでDDoS攻撃の踏み台にならないようにするために．

某レンタルサーバはデフォルトで他からのqueryを受け付ける設定だったので変更．
借りてるサーバなので自分で持ってるzone情報以外は答える必要なし．ただしlocalhostからの問い合わせには答える（resolv.conf次第だけど）方向で．

基本的にはoptionsに

allow-query { localhost; };
allow-transfer { none; };

を追加，
各zoneの指定部分に

allow-query { any; };

を追加．
これで自分が持ってるzone情報は答えるけど他については拒否するようになる．

参考
■DNS の再帰的な問合せを使った DDoS 攻撃の対策について

チェック
■DNS AMP check


# 20080413 追記
allow-transfer { none; }; しているので，masterからslaveに転送をする場合， also-notifyと同時にallow-transferを各zoneに記述する必要があるっぽい．

allow-transfer { xxx.xxx.xxx.xxx; };
also-notify { xxx.xxx.xxx.xxx; };

zoneファイルを更新しても引けないのでおかしいなーと思ったらこんな感じでした．
/var/log/messagesのnamed項を見て気づいた．