<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">Should be:</div><div class=""><br class=""></div><div class="">response-policy {zone "whitelist.allow" policy passthru;<br class="">                        zone "malware.trap";<br class="">                        zone "ransomwareips.block";<br class="">} qname-wait-recurse no break-dnssec no;</div><div class=""><br class=""></div>Vadim<br class=""><div><blockquote type="cite" class=""><div class="">On 09 Aug 2018, at 20:50, Blason R <<a href="mailto:blason16@gmail.com" class="">blason16@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">This is the error I am getting<br class=""><div class=""><br class=""></div><div class="">/etc/bind/named.conf.options:24: expected 'zone' near 'qname-wait-recurse'<br class=""></div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="">On Fri, Aug 10, 2018 at 9:10 AM Blason R <<a href="mailto:blason16@gmail.com" class="">blason16@gmail.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="">Hi there,<div class=""><br class=""></div><div class="">Where it should appear? ARM says it should appear inl Global-section of response-policy which I tried but getting error.</div><div class=""><br class=""></div><div class=""><div class="">    response-policy {zone "whitelist.allow" policy passthru;</div><div class="">                        zone "malware.trap";<br class=""></div><div class="">                        zone "ransomwareips.block";<br class=""></div><div class="">                                };</div></div><div class="">qname-wait-recurse no;<br class=""></div><div class="">break-dnssec no;<br class=""></div><div class=""><br class=""></div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="">On Fri, Aug 10, 2018 at 8:09 AM Blason R <<a href="mailto:blason16@gmail.com" target="_blank" class="">blason16@gmail.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="">Well mine is bit different. I have RPZ and almost 400000+ RPZ entries wall gardened. And in my scenario users are talking to windows based AD/DNS server and then that server has forwarder set to RPZ.<br class=""><div class=""><br class=""></div><div class=""><ol class=""><li class="">First issue; I observed certain entries from BIND/RPZ zone are being resolved by windows server directly to their original IPs and not the wall-gardened IP. Where I believe once the forwarder is set all those queries should have been routed to RPZ server? [If anyone here having Windows DNS expertise, pls help]<br class=""></li><li class="">And another, certain RPZ queries if queried through AD/DNS server are not at all getting resolved. When I captured packets on BIND/RPZ server I see that those domains are getting NXdomain by RPZ and not sure why.<br class=""></li></ol><div class="">Thanks and Regards,</div></div><div class="">Lionel F</div></div><br class=""><div class="gmail_quote"><div dir="ltr" class="">On Thu, Aug 9, 2018 at 11:08 PM Bob Harold <<a href="mailto:rharolde@umich.edu" target="_blank" class="">rharolde@umich.edu</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class=""><br class=""><div class="gmail_quote"><div dir="ltr" class="">On Thu, Aug 9, 2018 at 9:31 AM Blason R <<a href="mailto:blason16@gmail.com" target="_blank" class="">blason16@gmail.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="">For example this one.<br class=""><div class=""><br class=""></div><div class=""><div class="">18:59:26.905177 IP 192.168.1.120.65049 > 192.168.1.42.53: 42074+ A? <a href="http://0351dag.com/" target="_blank" class="">0351dag.com</a>. (29)<br class=""></div><div class="">18:59:26.905299 IP 192.168.1.42.53 > 192.168.1.120.65049: 42074 NXDomain 0/1/0 (102)</div></div></div></blockquote><div class=""><br class=""></div><div class="">With RPZ, the name is looked up normally first, and only if there is an answer, is RPZ invoked.  If it gets NXDOMAIN or some error, it returns that and does not use RPZ.</div><div class="">If that is not what you want, then you probably want to set the option:</div><div class="">    qname-wait-recurse no;</div><div class=""><br class=""></div><div class="">-- </div><div class="">Bob Harold</div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br class=""><div class="gmail_quote"><div dir="ltr" class="">On Thu, Aug 9, 2018 at 6:59 PM Blason R <<a href="mailto:blason16@gmail.com" target="_blank" class="">blason16@gmail.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="">Hi Bind-Users,<div class=""><br class=""></div><div class="">I would really appreciate if someone can help me understanding my issue with BIND RPZ server?</div><div class=""><br class=""></div><div class="">I have one windows server say 192.168.1.42 and then RPZ server with 192.168.1.179. I noticed that there are certain domains which are not getting resolved from end users. </div><div class=""><br class=""></div><div class="">Ideally since those end user has 192.168.1.42 DNS Server set and has forwarder set to 192.168.1.179 should forward all queries to 1.179, right?</div><div class=""><br class=""></div><div class="">But certain domains from my response-policy are even though wall-gardened those are being catered as NXdomain.</div><div class=""><br class=""></div><div class="">Anything I am missing pertaining to RPZ?</div><div class=""><br class=""></div><div class="">Or if I am querying all those domains directly to RPZ server then I am getting proper answer. This issue is noticed when I have forwarder server is between</div><div class=""><br class=""></div><div class=""><div class="">options {</div><div class="">        version "test";</div><div class="">        allow-query     { localhost;subnets; };</div><div class="">        directory "/var/cache/bind";</div><div class="">        recursion yes;</div><div class="">        querylog yes;</div><div class="">        forwarders {</div><div class="">                1.1.1.1;9.9.9.9;208.67.222.222;8.8.8.8;</div><div class="">         };</div><div class="">//      dnssec-validation auto;</div><div class="">        request-ixfr yes;</div><div class="">        auth-nxdomain no;    # conform to RFC1035</div><div class="">//      listen-on-v6 { any; };</div><div class="">        listen-on port 53 { any; };</div><div class="">        listen-on port 15455 {any;};</div><div class="">        response-policy { zone "whitelist.allow" policy passthru;</div><div class="">                        zone "wg.block";</div><div class="">                        zone "bad.trap";</div><div class="">                        zone "block.tld";</div><div class="">                        zone "ransomwareips.block";  };</div><div class="">};</div></div><div class=""><br class=""></div></div></blockquote></div>
</blockquote></div></div>
</blockquote></div>
</blockquote></div>
</blockquote></div>
_______________________________________________<br class="">Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" class="">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br class=""><br class="">bind-users mailing list<br class=""><a href="mailto:bind-users@lists.isc.org" class="">bind-users@lists.isc.org</a><br class="">https://lists.isc.org/mailman/listinfo/bind-users<br class=""></div></blockquote></div><br class=""></body></html>