<div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 22, 2019 at 9:41 AM Mik J via bind-users <<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">Hello,</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px"><br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">I tried to dissociate roles and have:</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">- 1 set of authoritative master/slave server</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">- 1 set of recursive servers</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px"><br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">For a zone that I owned, the "recursive" servers forwards the request to the authoritative server. Otherwise the server resolves the query directly on the Internet.</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">The authoritative servers hold my zones and recursion is disabled.</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px"><br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">I was reading about RPZ zones but it seems to me these are implemented on authoritative servers ?</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">I'm interested in RPZ zone in order to intercept some queries aiming to the internet youp*rn or wannacry.</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px"><br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">As I explained, my authoritative servers are not on the path to Internet, only my forward servers are, should I implement the RPZ functionality on these forward only servers ?<br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px"><br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">Any thoughts on this ?</div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px"><br></div><div class="gmail-m_8491214234342658015ydp789f357fyahoo-style-wrap" style="font-family:"Helvetica Neue",Helvetica,Arial,sans-serif;font-size:16px">Thank you</div></div></blockquote><div><br></div><div>The RPZ function only runs on the Recursive DNS servers.</div><div>The RPZ zone could be mastered on an Authoritative server, but it should not be visible to the public.   Better to keep it only on internal servers, like only on the resolvers.</div><div><br></div><div>-- </div><div>Bob Harold</div><div><br></div></div></div>