<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
   {font-family:"Cambria Math";
   panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
   {font-family:Calibri;
   panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
   {margin:0cm;
   margin-bottom:.0001pt;
   font-size:11.0pt;
   font-family:"Calibri",sans-serif;
   mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
   {mso-style-priority:99;
   color:#0563C1;
   text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
   {mso-style-priority:99;
   color:#954F72;
   text-decoration:underline;}
p.Code, li.Code, div.Code
   {mso-style-name:Code;
   mso-style-link:"Code Zchn";
   margin-top:0cm;
   margin-right:0cm;
   margin-bottom:0cm;
   margin-left:35.4pt;
   margin-bottom:.0001pt;
   border:none;
   padding:0cm;
   font-size:11.0pt;
   font-family:"Courier New";
   mso-fareast-language:EN-US;}
span.CodeZchn
   {mso-style-name:"Code Zchn";
   mso-style-link:Code;
   font-family:"Courier New";}
span.E-MailFormatvorlage19
   {mso-style-type:personal-compose;
   font-family:"Calibri",sans-serif;}
.MsoChpDefault
   {mso-style-type:export-only;
   font-family:"Calibri",sans-serif;
   mso-fareast-language:EN-US;}
@page WordSection1
   {size:612.0pt 792.0pt;
   margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
   {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DE link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Hi all!<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-GB>I’m really despairing on a configuration, and start to wonder if it is possible at all.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB>Running Bind 9.5.5, I want to serve IP-Addresses for my internal network only, and none from the internet, except for a few domains. The idea is I don’t want any intranet client to be able to resolve Internet addresses, except for a few domains like Microsoft.com and others.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB>My named.config looks like this (shortened, copied together from multiple files including others):<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>acl intranet_nets {<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     192.168.94.0/24;<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     192.168.1.0/24;<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     192.168.5.0/24;<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     };<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>options {<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     directory "/var/cache/bind";<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     allow-query { localhost; intranet_nets;};<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     allow-query-cache { localhost; intranet_nets;};<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt;text-indent:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>recursion no;   # switching this on would resolve ANY Internet address, which I don’t want<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     dnssec-validation auto;<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     auth-nxdomain no;    # conform to RFC1035<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     listen-on-v6 { any; };<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>};<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>zone "corp.intranet.de" { <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     type master; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     file "/etc/bind/db.corp.intranet.de";<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     allow-transfer { 192.168.94.242; }; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     allow-update { none;};<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     };<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>zone "94.168.192.in-addr.arpa" { <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     type master; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     file "/etc/bind/db.94.168.192"; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     allow-transfer { 192.168.94.242; }; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     allow-update { none;}; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>     };<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>zone "microsoft.com" IN {<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt;text-indent:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>type forward;<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt;text-indent:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>forwarders { 9.9.9.9; 194.150.168.168;  8.8.8.8;  8.8.4.4; }; <o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt;text-indent:35.4pt'><span lang=EN-GB style='font-family:"Courier New"'>};<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB>Running this configuration, my local addresses are correctly resolved, external addresses not (good), but DNS-requests for the domain Microsoft.com neither (bad!).<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB>I actually wonder if “forward” is the right keyword (is forward = answer to the client: “don’t ask me, ask one of the forwarders” ???), or if I’m totally on the wrong way.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB>Any support on how to implement this setup is highly appreciated,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB>   Sig<o:p></o:p></span></p></div></body></html>