<div>Hello,</div><div> </div><div>I have installed BIND on IPv6-only server with firewalled access to the internet (assume that access is allowed only to port 53 to forwarder).</div><div> </div><div>It works good, but sometimes BIND receive SERVFAIL response from forwarder (and we can see "remote server broken: returned  SERVFAIL" in logs). But forwarder is not broken, some requests need to be processed as SERVFAIL (try <dig 18.104.in-addr.arpa NS @8.8.8.8> for example).</div><div> </div><div>Okay, BIND thinks that forwarder is broken and starts recursion by itself. It makes requests to root NS-servers, NS-servers of zone etc... In our case BIND is not able to do these requests, because access to the «wild» internet is denied (moreover, if we will allow access, there is no IPv4 internet on the server, but many of NS-servers listen only IPv4 addresses, so it's not an option too).</div><div> </div><div>Is it any option which will allow us to proxy SERVFAIL (and other «bad» responses) from forwarder and not to try make recursive requests by itself)?</div><div> </div><div>Best,</div><div>Andrey</div>