<div dir="ltr">Infact what I observed that the intermediate DNS servers are not forwarding he queries for .com and .net servers to my RPZ servers and it tries resolves directly on his own from TLD servers<div><br></div><div>192.168.3.72 End User</div><div>192.168.3.15 [AUTH Server for <a href="http://test.com">test.com</a>] and has forwarder to</div><div>192.168.3.44 [RPZ]</div><div><br></div><div>So, 3.15 should only resolve for <a href="http://test.com">test.com</a> else all queries should be forwarded to 192.168.3.44 </div><div><br></div><div><u>Which is not happening.</u></div><div><u><br></u></div><div><div style="">dig <a href="http://003bbhq9.com">003bbhq9.com</a></div><div style=""><br></div><div style="">; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7 <<>> <a href="http://003bbhq9.com">003bbhq9.com</a></div><div style="">;; global options: +cmd</div><div style="">;; Got answer:</div><div style="">;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 6844</div><div style="">;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1</div><div style=""><br></div><div style="">;; OPT PSEUDOSECTION:</div><div style="">; EDNS: version: 0, flags:; udp: 4096</div><div style="">;; QUESTION SECTION:</div><div style="">;<a href="http://003bbhq9.com">003bbhq9.com</a>.                  IN      A</div><div style=""><br></div><div style=""><b>;; AUTHORITY SECTION:</b></div><div style=""><b>com.                    530     IN      SOA     <a href="http://a.gtld-servers.net">a.gtld-servers.net</a>. <a href="http://nstld.verisign-grs.com">nstld.verisign-grs.com</a>. 1533954938 1800 900 604800 86400</b></div><div style=""><br></div><div style="">;; Query time: 0 msec</div><div style="">;; SERVER: 192.168.3.15#53(192.168.3.15)</div><div style="">;; WHEN: Sat Aug 11 08:12:17 IST 2018</div><div style="">;; MSG SIZE  rcvd: 114</div><div style="text-decoration-line:underline"><br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Aug 11, 2018 at 7:57 AM Blason R <<a href="mailto:blason16@gmail.com">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Ok - Now I added like this and it disappeared.<div><br></div><div><div>        response-policy { zone "whitelist.allow" policy passthru;</div><div>                        zone "malware.trap";<br></div><div>                        zone "ransomwareips.block"; } qname-wait-recurse no break-dnssec no;<br></div></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Aug 11, 2018 at 7:51 AM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">This is not accepting and giving my syntax error.<div><br></div><div><div>named-checkconf /etc/bind/named.conf</div><div>/etc/bind/named.conf.options:29: syntax error near '}'</div></div><div><br></div><div><br></div><div>And here is I added</div><div><div><br></div><div>        response-policy { zone "whitelist.allow" policy passthru;</div><div>                        zone "malware.trap";<br></div><div>                        zone "ransomwareips.block"; } qname-wait-recurse no break-dnssec no; };<br></div></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Aug 11, 2018 at 1:17 AM Carl Byington <<a href="mailto:carl@byington.org" target="_blank">carl@byington.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA512<br>
<br>
On Fri, 2018-08-10 at 13:17 +0530, Blason R wrote:<br>
> Nah I dont think that is the answer since you need a termination after<br>
> clause.<br>
<br>
Did you actually try the answer below?<br>
<br>
<br>
> On Fri, Aug 10, 2018 at 12:58 PM Vadim Pavlov <<a href="mailto:pvm_job@mail.ru" target="_blank">pvm_job@mail.ru</a>> wrote:<br>
<br>
> Should be:<br>
<br>
<br>
>         response-policy {zone "whitelist.allow" policy passthru;<br>
>                                 zone "malware.trap";<br>
>                                 zone "ransomwareips.block";<br>
>         } qname-wait-recurse no break-dnssec no;<br>
<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.14 (GNU/Linux)<br>
<br>
iEYEAREKAAYFAltt65oACgkQL6j7milTFsF1fgCfYX/B4MaSrPqmoskfYvFAUQVV<br>
YfcAn2NO474pn6agGUmjjR49eq4+sw4Y<br>
=VwoG<br>
-----END PGP SIGNATURE-----<br>
<br>
<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>
</blockquote></div>
</blockquote></div>