<font face="Courier"><font face="Courier"><div dir="LTR"><sorry, left the subject blank on my previous reply></div><div dir="LTR"> </div><div dir="LTR">> From: Phil Mayers <<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></div>

<div dir="LTR">> To: <a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>, </div>
<div dir="LTR">> Date: 05/02/2013 15:26</div><div dir="LTR">> Subject: Re: Selective resolution in a corporate environment</div><div dir="LTR">> <br>
> On 05/02/13 15:16, funky monkey wrote:<br>
> <br>
> > But to get back to what I'm often asked for, more as a tactical<br>
> > solution, is there any way of being able to subvert specific DNS names<br>
> > with alternate responses, whilst leaving the rest of the resolution to<br>
> > be obtained in the normal way - I know that doesn't follow the normal<br>
> > looking for authority for a domain name, then asking the correct<br>
> > question there.<br>
> <br>
> RPZ. It's present in bind 9.8 and 9.9, and can filter queries and <br>
> responses to an (intentionally) limited degree.<br>
> <br>
> Basically you define a response-policy statement in the config. That <br>
> statement lists one or more zones e.g. "<a href="http://rpz.yoursite.org" target="_blank">rpz.yoursite.org</a>". Queries and <br>
> answers are passed through that zone looking for specially formatted <br>
> records, and answers rewritten or turned into NODATA/NXDOMAIN as required.</div><div dir="LTR"> </div><div dir="LTR"><div dir="LTR">Could you sandwich that in a forwarding chain - say have a bind 9.<compliant version> in between your normal forwarders to internet, and does it just look fo rthe entries you've specified as either alternate data or does not exist, but otherwise, carries on to forward to an authoritative (or cached, I suppose) version of the domain in question?</div>
<div dir="LTR"> </div><div dir="LTR">Thanks for the responses so far, by the way.</div></div></font></font>