<div dir="ltr">That's brilliant! Thanks.<div><br></div><div>I'd still include the hint zone (as I'm partial to not having unnecessary warnings on startup). <br></div><div><br></div><div>Also a lot of folks use localhost and/or localnets in DNS configuration. Just from a security standpoint, I prefer to be more specific. localhost and/or localnets can be much more template friendly, I know.</div><div><br></div><div>However, your suggestion changes my response for excluded addresses from SERVFAIL to REFUSED. Much better.</div><div><br></div><div>Cheers!</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 26, 2015 at 5:02 AM, Tony Finch <span dir="ltr"><<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Bob McDonald <<a href="mailto:bmcdonaldjr@gmail.com">bmcdonaldjr@gmail.com</a>> wrote:<br>
<br>
> To further lock this information down I would suggest adding the<br>
> following view statements to any internet facing DNS device configuration:<br>
><br>
> view "outsiders" chaos {<br>
>         match-clients { !127.0.0.1; !your-inside--nets; any; };<br>
>         allow-query { none; };<br>
> # we need a zone within a view and Bind complains on startup if there is no hint file in classes<br>
> #  other than internet. (it is provided with the software for the internet class)<br>
>         zone "." chaos {<br>
>                 type hint;<br>
>                 file "/dev/null";  // or any empty file<br>
>         };<br>
><br>
> };<br>
<br>
</span>Another way is to use BIND's syntax for explicitly configuring the special<br>
server information zones, like below. This view handles all queries for<br>
the chaos class, and rejects queries from nonlocal clients.<br>
<br>
  view bind chaos {<br>
    recursion no;<br>
    allow-query { localhost; localnets; };<br>
    zone  authors.bind ch { type master; database "_builtin authors";  };<br>
    zone hostname.bind ch { type master; database "_builtin hostname"; };<br>
    zone  version.bind ch { type master; database "_builtin version";  };<br>
    zone     id.server ch { type master; database "_builtin id";       };<br>
  };<br>
<br>
Tony.<br>
<span class="HOEnZb"><font color="#888888">--<br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a><br>
Viking, North Utsire: Easterly 4 or 5, increasing 6 at times. Slight or<br>
moderate, but rough in southwest Viking. Showers later. Good, occasionally<br>
poor later.<br>
</font></span></blockquote></div><br></div>