<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto">Hi Blason,<div><br></div><div>depends on what you mean by “DoH”<br><br>You can disable the Mozilla automatic bootstrap with RPZ: <a href="https://kb.isc.org/docs/using-response-policy-zones-to-disable-mozilla-doh-by-default">https://kb.isc.org/docs/using-response-policy-zones-to-disable-mozilla-doh-by-default</a><br><br>That’s the most lightweight option. </div><div><br></div><div>The most heavyweight would be a transparent MITM HTTPS proxy/firewall.</div><div><br></div><div>Somewhere in between is firewall blocking the well known IP addresses (the post from Daniel), but that mostly blocks the “good guys”.<br><br>Ondřej <br><div dir="ltr"><div>--</div>Ondřej Surý — ISC</div><div dir="ltr"><br><blockquote type="cite">On 2 Oct 2019, at 13:24, Blason R <blason16@gmail.com> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div>Hi Folks,</div><div><br></div><div>Wondering if anyone has any clue or defining policies for blocking DoH [DND Over HTTPS] traffic using bind RPZ feature?</div><div><br></div><div>Does anyone have any use case about it?</div><div><br></div><div>Thanks and Regards,</div><div>Blason R<br></div></div>
<span>_______________________________________________</span><br><span>Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list</span><br><span></span><br><span>bind-users mailing list</span><br><span>bind-users@lists.isc.org</span><br><span>https://lists.isc.org/mailman/listinfo/bind-users</span><br></div></blockquote></div></body></html>