"Para solucionar o problema dos servidores DNS recursivos abertos é
necessário separar os servidores autoritativo e recursivo e atribuir
políticas de acesso diferentes a cada um.
....
Servidor Recursivo
Para o servidor recursivo é necessário combinar regras de filtragem em
um firewall, idealmente stateful, com configurações no
arquivo named.conf.
Configuração do Firewall:
Para garantir que sejam atendidos apenas clientes de
redes permitidas e que o servidor recursivo possa fazer
as consultas aos servidores DNS externos, é necessário
ter o seguinte conjunto de regras no firewall:
Permissão de consultas ao servidor recursivo somente
para os clientes autorizados:
Tráfego vindo dos clientes autorizados, com destino às
portas 53/UDP e 53/TCP do servidor recursivo, deve ser
liberado;
Permissão para o servidor recursivo consultar servidores
DNS externos e receber as respostas:
Permitir tráfego originado do servidor recursivo com
destino às portas 53/UDP e 53/TCP de qualquer máquina,
permitindo também o retorno das respostas. Nesse caso a
melhor solução é a utilização de um firewall
stateful.
Bloquear quaisquer outras conexões externas ao servidor
DNS recursivo.
"
Assim, é necessário sim separar os servidores e atribuir políticas de acesso diferentes.
Contudo, a questão inverte o conceito ao dizer que o Servidor Recursivo não poderá acessar a internet, ele poderá sim consultar e receber respostas de servidores externos, o que não poderá haver são as conexões externas ao DNS recursivo.
Fonte: http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/