TMG и DNS, огромный трафик извне
 

Дано:
Основой контроллер домена: PDC, вторичный котролер домена SDC, сервер exchange: Mail, сервер TMG (Win 2008 R2 Standart ).
DNS запросы, которые не может обработать PDC и SDC перенаправляются на DNS на TMG, с DNS TMG на DNS провайдера, также есть MX запись домена для доступа из все.
На TMG два физических порта WAN, LAN, смотрящие в интернет и в сеть.
пару месяцев назад была миграция с ISA 2006 на TMG, в остальном все работает(ло) не один год.

Проблема:
За последние 3 дня, DNS трафика 18 гигабайт.
C внешних IP идут запросы на внешний интерфейс, примерно с десятка адресов забивая практически полностью интернет канал + служба DNS хорошенько подгружает сервер.

Запрет DNS прослушивать внешний IP блокирует работу почты, и внешних сервисов служба DNS перестает поедать ресурсы сервера,
тоже самое происходит, если отключить правило позволяющие видеть DNS на из вне.

Вопрос:
Как закрыться от негодяев, не нарушив работу внешних сервисов?
Может я что упустил.. ?

R3pl1CID, покажите скрин правил

зачем на ТМГ установлен ДНС ?

Проблема решилась долгим разговором с провайдером и принятием мер по защите от DDOS.

На нем прописаны зоны для работы с филиалами, он является промежуточным для разрешения внешних имен, через него идет публкация фтп сервера, через него работает сервер exchange.

И насколько мне известно не рекомендуется показывать основной сервер имен во внешнюю сеть.

если филиалы к вам подключаются, то я думаю, они делают это через VPN, а дальше могут использовать внутренний ДНС
(тот, который на контроллере домена, с настроенными перенаправления на ДНС провайдера).
если вы рабоете с филиалами, то кто мешает прописать эти зоны на внутреннем ДНС ?
с этим справиться и тот же внутренний ДНС на контроллере домена.
публикация через ДНС ? я о таком не знаю. Расскажите поподробнее?
он так же может использовать ДНС на контроллере домена...
тот который интегрирован с АД - да. Или у вас ДНС на TMG обслуживает зоны для ваших внешних веб-сайтов?

пока я вижу кучу ДНС, но не понимаю реального их обоснования...

А никто Вам и не говорит о публикации вашего внутреннего DNS сервера. Речь идёт всего лишь о том, что DNS сервер на TMG является излишним звеном. ;)

Структура, что как и куда смотрит работает(ла) достаточно долго, гороздо дольше чем работаю я в этой компании и большая часть моих колег.
Часть всего хозяйства приводится в божеский вид в процессе модернизации/доработки.

ftp.имядомена.ru указывает на фтп внутри сети, который не имеет внешнего адресса.

Да, корпаротивные сайты расположены на внешнем хостинге.

Я вам больше скажу, обратились мы в оустсорс компанию, мол помогите, они пришли, посмотрели и сразу предложими DMZ c еще одним промежуточным DNS!

странно, что не предложили просто пробросить 53 порт к ДНС серверу.
т.е. у внешних клиентов ваш ДНС прописан в свойствах сетевой карты?
Почему бы просто не опубликовать тот же ФТП через ТМГ ? через ваш внешний адрес....