<div dir="ltr">Well this is valid when users are directly talking to RPZ servers. What if there is one more resolver in between like Active Directory which itself acts as a DNS server? In that case I believe you don't need to do that, right?</div><br><div class="gmail_quote"><div dir="ltr">On Fri, Aug 10, 2018 at 12:33 AM Grant Taylor via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 08/09/2018 01:01 AM, Lee wrote:<br>
> yes, it works just fine<br>
<br>
Good.<br>
<br>
> it does, so you have to flag your local zones as rpz-passthru.  eg:<br>
> *.<a href="http://home.net" rel="noreferrer" target="_blank">home.net</a>              CNAME   rpz-passthru.<br>
> localhost               CNAME   rpz-passthru.<br>
> 8.0.0.0.127.rpz-ip      CNAME   .       ;  <a href="http://127.0.0.0/8" rel="noreferrer" target="_blank">127.0.0.0/8</a><br>
> 8.0.0.0.10.rpz-ip       CNAME   .       ;   <a href="http://10.0.0.0/8" rel="noreferrer" target="_blank">10.0.0.0/8</a><br>
> 12.0.0.16.172.rpz-ip    CNAME   .       ;  <a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">172.16.0.0/12</a><br>
> 16.0.0.168.192.rpz-ip   CNAME   .       ;  <a href="http://192.168.0.0/16" rel="noreferrer" target="_blank">192.168.0.0/16</a><br>
<br>
That makes sense.  RPZ would filter the private IPs by default, but <br>
zones with said records can be told to not be blocked by RPZ.<br>
<br>
Thank you for the clarification Lee.<br>
<br>
<br>
<br>
-- <br>
Grant. . . .<br>
unix || die<br>
<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>