<div dir="ltr"><div><div><div>Dear, thanks for your contact. I've used <a href="http://teamviewer.com">teamviewer.com</a> just for tests.<br><br></div>Desktops I mentioned can only access to web apps from internal domains, but in some web apps there are links to download Teamviewer client software from Internet. I can create a private zone "<a href="http://teamviewer.com">teamviewer.com</a>" with all the hostnames and IP's we will use, but if they change I will be in trouble.<br><br></div>So we need to forward the query to our resolvers in order to get a valid response.<br><br></div>So I think we can use the forward option from BIND, but it doesn't work at all as I described:<br><pre>1. "recursion no" can only be set at the top (view) level, not overridden
   at the zone level.

2. If I set "recursion no" at the view level, then a "type forward"
   zone has no effect:

  view "foo" {
    recursion no;
    ...
    zone "<a href="http://teamviewer.com">teamviewer.com</a>" {
      type forward;
      forward only;
      forwarders {172.18.1.1; 172.18.1.2;};
    };

-- query for <a href="http://foo.teamviewer.com">foo.teamviewer.com</a> fails and tell it's not a recursive query

3. If I define "recursion yes" at view level:

  view "foo" {
    recursion yes;
    ...
<br>    zone "<a href="http://teamviewer.com">teamviewer.com</a>" {
      type forward;
      forward only;
      forwarders {172.18.1.1; 172.18.1.2;};
    };

-- query for <a href="http://foo.teamviewer.com">foo.teamviewer.com</a> is OK, but also I get response OK from <a href="http://foo.ibm.com">foo.ibm.com</a>, <a href="http://foo.google.com">foo.google.com</a>, and any other public domain from Internet (and this is not what I want, it's what I'm trying to prevent))

So can you help me please???<br></pre><pre>Regards.<br></pre></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El jue., 7 feb. 2019 a las 15:40, Matus UHLAR - fantomas (<<a href="mailto:uhlar@fantomas.sk">uhlar@fantomas.sk</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 07.02.19 14:58, Roberto Carna wrote:<br>
>In our company we have several desktops from two different cities accessing<br>
>only to internal domains distributed in two views in a private BIND with<br>
>authoritative zones, where I've defined "recursion no;".<br>
><br>
>But now we have to let them access to *.<a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a> hostnames, just this<br>
>public domain and not other.<br>
<br>
btw, when did <a href="http://linux.org" rel="noreferrer" target="_blank">linux.org</a> change to <a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a>?<br>
<br>
>So I've implemented the forwarding of "<a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a>" zone to our BIND<br>
>resolvers servers (they forward DNS queries to 8.8.8.8). So I've created a<br>
>third view with this information in named.conf.local:<br>
><br>
>acl internet { <a href="http://10.0.0.0/24" rel="noreferrer" target="_blank">10.0.0.0/24</a> };<br>
><br>
>view "internet" {<br>
><br>
>   match-clients { internet; key "custom"; };<br>
><br>
> recursion yes;<br>
><br>
> zone "<a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a>" {<br>
><br>
>        type forward;<br>
><br>
>        forward only;<br>
><br>
>        forwarders {<br>
><br>
>                172.18.1.1;<br>
><br>
>                172.18.1.2;<br>
><br>
>        };<br>
><br>
>};<br>
<br>
<br>
>I defined "recursion yes" but the BIND servers forwards all the public<br>
>domains queries to our resolvers and not just for "<a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a>", so it<br>
>doesn't work. And if I change for "recursion no", the query<br>
><a href="http://www.teamviewer.com" rel="noreferrer" target="_blank">www.teamviewer.com</a> is refused and at the client side appears an error<br>
>telling that recursion is necessary.<br>
<br>
of course, BIND will resolve other domains (recurse) only when you allow it<br>
to recurse.<br>
<br>
>So I let desktops resolve all the Internet domains or neither, and this is<br>
>not what I want because I just want to let them resolve just <a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a>.<br>
><br>
>How can I do to forward only <a href="http://teamviewer.com" rel="noreferrer" target="_blank">teamviewer.com</a> zone queries to my resolvers???<br>
<br>
what is the point of running DNS server with only two hostnames allowed to<br>
resolve?<br>
<br>
-- <br>
Matus UHLAR - fantomas, <a href="mailto:uhlar@fantomas.sk" target="_blank">uhlar@fantomas.sk</a> ; <a href="http://www.fantomas.sk/" rel="noreferrer" target="_blank">http://www.fantomas.sk/</a><br>
Warning: I wish NOT to receive e-mail advertising to this address.<br>
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.<br>
Despite the cost of living, have you noticed how popular it remains? <br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>