<div dir="ltr">Its there!!!</div><br><div class="gmail_quote"><div dir="ltr">On Mon, Aug 13, 2018 at 6:58 PM Bob Harold <<a href="mailto:rharolde@umich.edu">rharolde@umich.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br clear="all"><div><div dir="ltr" class="m_-8367807967550515378gmail_signature"><br>-- <br>Bob Harold<br>hostmaster, UMnet, ITcom<br>Information and Technology Services (ITS)<br><a href="mailto:rharolde@umich.edu" target="_blank">rharolde@umich.edu</a><br>734-647-6524 desk<br></div></div><br><br><div class="gmail_quote"><div dir="ltr">On Sun, Aug 12, 2018 at 2:38 AM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Bob,<div><br></div><div>I guess my scenario is not exactly understood I believe. Before that if I have set forwarder in Global option then ideally BIND should forward all queries to the forwarder, right?</div><div><br></div><div>Lets say 192.168.3.15 is client</div><div>192.168.3.42 is BIND Server</div><div>192.168.3.78 is RPZ server</div><div><br></div><div>I have one zone on 192.168.3.42 by name <a href="http://test.com" target="_blank">test.com</a> and have all the entries on 192.168.3.42, so on users desktop 192.168.3.15 I have DNS configured as 192.168.3.42.</div></div></blockquote><div><br></div><div>Make sure 3.42 has in the global options:</div><div><div>forward only;</div><div>forwarders { 192.168.3.78; };</div></div><div><br></div><div>If you are missing the "forward only;" then bind will try to forward, but if it does not get a quick answer it will try to resolve itself.</div><div><br></div><div>-- </div><div>Bob Harold</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>So, </div><div><br></div><div>When query goes for <a href="http://ftp.test.com" target="_blank">ftp.test.com</a> it will be resolved by 192.168.3.42</div><div>When query goes for <a href="http://bad.malware.com" target="_blank">bad.malware.com</a>. it will be forwarded 192.168.3.78 where it will be wall-gardened.</div><div><br></div><div>Now what I noticed is certain RPZ entries on 3.78 are not getting resolved from 192.168.3.15. And then I observed that certain .com entries 3.42 is trying resolve on his own even though he is not authoritative server and supposedly those ALL queries should have been forwarded to 192.168.3.78.</div><div><br></div><div>PS:  I guess there are certain folks are on list from commercial RPZ services, are they facing same issue? </div></div><br><div class="gmail_quote"><div dir="ltr">On Sun, Aug 12, 2018 at 10:12 AM Bob Harold <<a href="mailto:rharolde@umich.edu" target="_blank">rharolde@umich.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div dir="ltr" class="m_-8367807967550515378gmail-m_-25602680738113845m_5821580633807372991gmail_signature"><br></div></div><div class="gmail_quote"><div dir="ltr">On Fri, Aug 10, 2018 at 10:53 PM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Infact what I observed that the intermediate DNS servers are not forwarding he queries for .com and .net servers to my RPZ servers and it tries resolves directly on his own from TLD servers</div></blockquote><div><br></div><div>You need to work on the intermediate server to get it to forward.  If it is running  Microsoft DNS, then I don't know enough to help you with that.</div><div><br></div><div>I would suggest that  you have the RPZ server be a 'slave' for the '<a href="http://test.com" target="_blank">test.com</a>' zone (and all the zones that the AUTH server has).  Then point users directly at the RPZ server.</div><div><br></div><div>-- </div><div>Bob Harold</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>192.168.3.72 End User</div><div>192.168.3.15 [AUTH Server for <a href="http://test.com" target="_blank">test.com</a>] and has forwarder to</div><div>192.168.3.44 [RPZ]</div><div><br></div><div>So, 3.15 should only resolve for <a href="http://test.com" target="_blank">test.com</a> else all queries should be forwarded to 192.168.3.44 </div><div><br></div><div><u>Which is not happening.</u></div><div><u><br></u></div><div><div>dig <a href="http://003bbhq9.com" target="_blank">003bbhq9.com</a></div><div><br></div><div>; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7 <<>> <a href="http://003bbhq9.com" target="_blank">003bbhq9.com</a></div><div>;; global options: +cmd</div><div>;; Got answer:</div><div>;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 6844</div><div>;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1</div><div><br></div><div>;; OPT PSEUDOSECTION:</div><div>; EDNS: version: 0, flags:; udp: 4096</div><div>;; QUESTION SECTION:</div><div>;<a href="http://003bbhq9.com" target="_blank">003bbhq9.com</a>.                  IN      A</div><div><br></div><div><b>;; AUTHORITY SECTION:</b></div><div><b>com.                    530     IN      SOA     <a href="http://a.gtld-servers.net" target="_blank">a.gtld-servers.net</a>. <a href="http://nstld.verisign-grs.com" target="_blank">nstld.verisign-grs.com</a>. 1533954938 1800 900 604800 86400</b></div><div><br></div><div>;; Query time: 0 msec</div><div>;; SERVER: 192.168.3.15#53(192.168.3.15)</div><div>;; WHEN: Sat Aug 11 08:12:17 IST 2018</div><div>;; MSG SIZE  rcvd: 114</div><div style="text-decoration-line:underline"><br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Aug 11, 2018 at 7:57 AM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Ok - Now I added like this and it disappeared.<div><br></div><div><div>        response-policy { zone "whitelist.allow" policy passthru;</div><div>                        zone "malware.trap";<br></div><div>                        zone "ransomwareips.block"; } qname-wait-recurse no break-dnssec no;<br></div></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Aug 11, 2018 at 7:51 AM Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">This is not accepting and giving my syntax error.<div><br></div><div><div>named-checkconf /etc/bind/named.conf</div><div>/etc/bind/named.conf.options:29: syntax error near '}'</div></div><div><br></div><div><br></div><div>And here is I added</div><div><div><br></div><div>        response-policy { zone "whitelist.allow" policy passthru;</div><div>                        zone "malware.trap";<br></div><div>                        zone "ransomwareips.block"; } qname-wait-recurse no break-dnssec no; };<br></div></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Sat, Aug 11, 2018 at 1:17 AM Carl Byington <<a href="mailto:carl@byington.org" target="_blank">carl@byington.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA512<br>
<br>
On Fri, 2018-08-10 at 13:17 +0530, Blason R wrote:<br>
> Nah I dont think that is the answer since you need a termination after<br>
> clause.<br>
<br>
Did you actually try the answer below?<br>
<br>
<br>
> On Fri, Aug 10, 2018 at 12:58 PM Vadim Pavlov <<a href="mailto:pvm_job@mail.ru" target="_blank">pvm_job@mail.ru</a>> wrote:<br>
<br>
> Should be:<br>
<br>
<br>
>         response-policy {zone "whitelist.allow" policy passthru;<br>
>                                 zone "malware.trap";<br>
>                                 zone "ransomwareips.block";<br>
>         } qname-wait-recurse no break-dnssec no;<br><br></blockquote></div></blockquote></div></blockquote></div>
</blockquote></div></div>
</blockquote></div>
</blockquote></div></div>
</blockquote></div>