<div dir="ltr"><br><div class="gmail_quote"><div dir="ltr">On Thu, Aug 9, 2018 at 9:31 AM Blason R <<a href="mailto:blason16@gmail.com">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">For example this one.<br><div><br></div><div><div>18:59:26.905177 IP 192.168.1.120.65049 > 192.168.1.42.53: 42074+ A? <a href="http://0351dag.com" target="_blank">0351dag.com</a>. (29)<br></div><div>18:59:26.905299 IP 192.168.1.42.53 > 192.168.1.120.65049: 42074 NXDomain 0/1/0 (102)</div></div></div></blockquote><div><br></div><div>With RPZ, the name is looked up normally first, and only if there is an answer, is RPZ invoked.  If it gets NXDOMAIN or some error, it returns that and does not use RPZ.</div><div>If that is not what you want, then you probably want to set the option:</div><div>    qname-wait-recurse no;</div><div><br></div><div>-- </div><div>Bob Harold</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><div class="gmail_quote"><div dir="ltr">On Thu, Aug 9, 2018 at 6:59 PM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Bind-Users,<div><br></div><div>I would really appreciate if someone can help me understanding my issue with BIND RPZ server?</div><div><br></div><div>I have one windows server say 192.168.1.42 and then RPZ server with 192.168.1.179. I noticed that there are certain domains which are not getting resolved from end users. </div><div><br></div><div>Ideally since those end user has 192.168.1.42 DNS Server set and has forwarder set to 192.168.1.179 should forward all queries to 1.179, right?</div><div><br></div><div>But certain domains from my response-policy are even though wall-gardened those are being catered as NXdomain.</div><div><br></div><div>Anything I am missing pertaining to RPZ?</div><div><br></div><div>Or if I am querying all those domains directly to RPZ server then I am getting proper answer. This issue is noticed when I have forwarder server is between</div><div><br></div><div><div>options {</div><div>        version "test";</div><div>        allow-query     { localhost;subnets; };</div><div>        directory "/var/cache/bind";</div><div>        recursion yes;</div><div>        querylog yes;</div><div>        forwarders {</div><div>                1.1.1.1;9.9.9.9;208.67.222.222;8.8.8.8;</div><div>         };</div><div>//      dnssec-validation auto;</div><div>        request-ixfr yes;</div><div>        auth-nxdomain no;    # conform to RFC1035</div><div>//      listen-on-v6 { any; };</div><div>        listen-on port 53 { any; };</div><div>        listen-on port 15455 {any;};</div><div>        response-policy { zone "whitelist.allow" policy passthru;</div><div>                        zone "wg.block";</div><div>                        zone "bad.trap";</div><div>                        zone "block.tld";</div><div>                        zone "ransomwareips.block";  };</div><div>};</div></div><div><br></div></div></blockquote></div>
</blockquote></div></div>