<html><body><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 10pt; color: #000000"><DIV>
<P>Hi all ,</P>
<P>I installed a new bind caching server called nameserver.hiddendomain.be by using Ubuntu server 12.04.3 LTS with the included bind version : 9.8.1.dfsg.P1-4 for testing.</P>
<P>We are a tiny ISP for some regional customers so we don't use forwarders, we host the caching servers for them.</P>
<P>Recently our government obligated all ISP's to block access to child-porn, illegal betting sites, illegal file share sites etc...<BR>I have been asked now to implement this on our caching DNS servers (serve a custom zone to all of our customers that points to an IP from the government that hosts a block-page)</P>
<P>It's the first time I try to use this mixed bind setup. (still act as caching server for our customers, but be authoritative for all domains we need to block)</P>
<P>When I query a to-be-blocked-zone with for example: dig @localhost stop.com ,  I get the response I want from within our local zone file (see zone file below; /etc/bind/stop.com.zone). <BR>If I use another Ubuntu host in the same network and qery with dig @nameserver stop.com , I get the response from the Internet and not from the master zone file located on our 'nameserver'. (our test caching server seems to ignore it's master for the zone stop.com)</P>
<P>Below you will find our config files ,I don't see the problem, thanks for your help !</P>
<P>Regards, <BR>Olivier</P>
<P>(the name of my test server and the name of the zone we need to block have been replaced by fake ones for privacy reasons. Except for those names and it's IP, all other info is from my test server-setup)</P>
<P>---cat /etc/hosts --></P>
<P>127.0.0.1       localhost<BR>IP.IP.IP.IP    nameserver.hiddendomain.be     nameserver</P>
<P># The following lines are desirable for IPv6 capable hosts<BR>::1     ip6-localhost ip6-loopback<BR>fe00::0 ip6-localnet<BR>ff00::0 ip6-mcastprefix<BR>ff02::1 ip6-allnodes<BR>ff02::2 ip6-allrouters</P>
<P>---cat /etc/bind/named.conf --></P>
<P>// This is the primary configuration file for the BIND DNS server named.<BR>//<BR>// Please read /usr/share/doc/bind9/README.Debian.gz for information on the<BR>// structure of BIND configuration files in Debian, *BEFORE* you customize<BR>// this configuration file.<BR>//<BR>// If you are just adding zones, please do that in /etc/bind/named.conf.local</P>
<P>include "/etc/bind/named.conf.options";<BR>include "/etc/bind/named.conf.local";<BR>include "/etc/bind/named.conf.default-zones";</P>
<P>---cat /etc/bind/named.conf.options --></P>
<P>options {<BR>        directory "/var/cache/bind";</P>
<P>        // If there is a firewall between you and nameservers you want<BR>        // to talk to, you may need to fix the firewall to allow multiple<BR>        // ports to talk.  See <A href="http://www.kb.cert.org/vuls/id/800113" data-mce-href="http://www.kb.cert.org/vuls/id/800113">http://www.kb.cert.org/vuls/id/800113</A></P>
<P>        // If your ISP provided one or more IP addresses for stable<BR>        // nameservers, you probably want to use them as forwarders.<BR>        // Uncomment the following block, and insert the addresses replacing<BR>        // the all-0's placeholder.</P>
<P>        // forwarders {<BR>        //      0.0.0.0;<BR>        // };</P>
<P>        //========================================================================<BR>        // If BIND logs error messages about the root key being expired,<BR>        // you will need to update your keys.  See <A href="https://www.isc.org/bind-keys" data-mce-href="https://www.isc.org/bind-keys">https://www.isc.org/bind-keys</A><BR>        //========================================================================<BR> dnssec-enable yes;        <BR> dnssec-validation auto;</P>
<P>        auth-nxdomain no;    # conform to RFC1035<BR>        listen-on-v6 { any; };</P>
<P>---cat /etc/bind/named.conf.local --></P>
<P>//<BR>// Do any local configuration here<BR>//</P>
<P>// Consider adding the 1918 zones here, if they are not used in your<BR>// organization<BR>//include "/etc/bind/zones.rfc1918";</P>
<P>zone "stop.com"<BR>{<BR>type master;<BR>file "/etc/bind/stop.com.zone";<BR>};</P>
<P>---cat /etc/bind/stop.com.zone --></P>
<P>$TTL 86400<BR>$ORIGIN stop.com.</P>
<P>@       IN      SOA     nameserver.hiddendomain.be.      hostmaster.hiddendomain.be. (<BR>                        2013101601      ; serial number YYMMDDNN<BR>                        28800           ; Refresh<BR>                        7200            ; Retry<BR>                        864000          ; Expire<BR>                        86400           ; Min TTL<BR>                        )</P>
<P>                NS      ns3.hiddendomain.be.<BR>                NS      ns4.hiddendomain.be.</P>
<P>        IN      A       193.191.245.56<BR>www     IN      A       193.191.245.56</P>
<P> </P></DIV></div></body></html>