How safe is to allow port 53 any

Not very.

Are you trying to allow inbound or outbound?

Barry

Not a good idea.  If you're trying to give internal systems outbound DNS lookup capability, add an Internal Network(s) -> DNS -> ANY rule.  Even better, configure the DNS Proxy on the Astaro, and point the internal clients / servers at that.

Even better, configure the DNS Proxy on the Astaro, and point the internal clients / servers at that.

Bruce is right.  It's generally faster, finds your internal DNS static listed devices, remembers the places you and your office mates go to regularly, creates less traffic on your internet links.  Better all around.

Even better, configure the DNS Proxy on the Astaro, and point the internal clients / servers at that.

Bruce is right.  It's generally faster, finds your internal DNS static listed devices, remembers the places you and your office mates go to regularly, creates less traffic on your internet links.  Better all around.

Internal Network(s) -> DNS -> ANY rule
This is a good idea but how about if we have a primary DNS in the DMZ and a secondary remotely located at a branch office.In this case we also need for zone transfer to work which needs outside access to the DMZ DNS.

I would run Zone transfers over a VPN or P2P link... you can configure your internal DNS to do so.