<div dir="ltr">Hmm that is a good idea to block the DOH queries but what I understood is blocking on perimeter level would be more appropriate.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 2, 2019 at 4:58 PM Daniel Stirnimann <<a href="mailto:daniel.stirnimann@switch.ch">daniel.stirnimann@switch.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">You cannot block DoH with RPZ but you can block bootstrapping DoH if the<br>
web browser is configured to use "normal" DNS to lookup the DoH<br>
endpoint. See also:<br>
<br>
<a href="https://github.com/bambenek/block-doh" rel="noreferrer" target="_blank">https://github.com/bambenek/block-doh</a><br>
<br>
Daniel<br>
<br>
On 02.10.19 13:23, Blason R wrote:<br>
> Hi Folks,<br>
> <br>
> Wondering if anyone has any clue or defining policies for blocking DoH<br>
> [DND Over HTTPS] traffic using bind RPZ feature?<br>
> <br>
> Does anyone have any use case about it?<br>
> <br>
> Thanks and Regards,<br>
> Blason R<br>
> <br>
> _______________________________________________<br>
> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
> <br>
> bind-users mailing list<br>
> <a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
> <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
> <br>
</blockquote></div>