<div dir="ltr"><div><div><div><div>An unwise decision, from security point of view !<br><br></div>You are about to open the DNS channel - public DNS resolving available for internal clients.<br></div>Consequently data leakage, file transfer in/out over DNS become possible ...<br>
<br></div>As far as the question about internal fake zones is concerned :<br></div>if the name server has knowledge, because it is authoritative, it will use that knowledge and will not try to query name servers on the Internet.<br>
It becomes "bogus" for that zone : no delegation, but having knowledge.<br><br>Kind regards,<br><br>Marc<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Oct 10, 2013 at 10:28 AM, Peter Olsson <span dir="ltr"><<a href="mailto:pol@leissner.se" target="_blank">pol@leissner.se</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">(This is probably a silly question, but I<br>
want to explore every possibility.)<br>
<br>
We have a proxy firewall, with no contact<br>
between inside and outside. We have a fake<br>
internal DNS root for zones that we use<br>
internally. This works fine, since lookup<br>
of external names are only made from the<br>
outside of the proxy servers.<br>
<br>
We are about to change to a transparent<br>
firewall, which means that we remove the<br>
proxy servers. Then we have to let the<br>
inside get access to real outside DNS.<br>
<br>
Is there any way with bind, or any other<br>
DNS product, to keep our internal fake zones<br>
and have them selectively forwarded to external<br>
DNS for all names that don't exist in the<br>
internal fake zones?<br>
Clients would first ask internal DNS, and if<br>
the name exists there they will use that, but<br>
if the name doesn't exist internally they won't<br>
get a negative response. Instead their request<br>
would be forwarded to external DNS.<br>
<br>
Thanks!<br>
<br>
Peter Olsson<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div><br></div>