Die erste Zeile rührt daher, dass die Firewall einen Nameserver nicht über IPv6 erreichen kann. Wir sind gerade am prüfen, ob der BIND in Zukunft nur IPv6-Server anfragt, wenn er auch selber über eine globale IPv6-Adresse verfügt. Es dürfte zwar eine Verzögerung beim ersten Kontakt zu dieser Domain messbar sein, aber beim normalen Surfen merkt der gemeine User da keinen Unterschied.
Nummer 2 ist schon interessanter. Ich zitiere mal das BIND-Handbuch:
clients-per-query, max-clients-per-query
These set the initial value (minimum) and maximum number of recursive
simultanious clients for any given query ()
that the server will accept before dropping additional clients.
named will attempt to self tune this value and changes will be
logged. The default values are 10 and 100.
This value should reflect how many queries come in for a given
name in the time it takes to resolve that name. If the number of
queries exceed this value, named will assume that it is dealing
with a non-responsive zone and will drop additional queries. If
it gets a response after dropping queries, it will raise the estimate.
The estimate will then be lowered in 20 minutes if it has remained
unchanged.
Zusammengefasst: An ihrem DNS-Server kommen Anfragen an, die nicht beantwortet werden können. Und davon kommen ungewöhnlich viele an. Sie haben den DNS-Server hoffentlich nicht aus dem Internet erreichbar gemacht...
Nummer 3 wird
hier erschöpfend behandelt.