<html dir="ltr"><head></head><body style="text-align:left; direction:ltr;"><div>Hello Daniel,</div><div>thanks for your response.</div><div><br></div><div>I also noticed that if tst.test.com didn't exist on rpz2, it simply match on rpz1 in *.test.com entry, so for me it was like some bug. This was why I posted here to check if someone else experienced the same behaviour and it if it was not some kind of expected change into bind.</div><div><br></div><div>This problem with wildcards will give a lots of work to who have rpz zones updated automatically, so I hope it can go back to what it was.</div><div><br></div><div>Thanks again and I hope that someone took your open issue ;).</div><div><br></div><div>Regards,</div><div>Paulo</div><div><br></div><div>On Tue, 2020-06-02 at 14:19 +0200, Daniel Stirnimann wrote:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>Hello Paulo,</pre><pre><br></pre><pre>I noticed the same some time ago and made an issue on gitlab.isc.org:</pre><pre><br></pre><pre><a href="https://gitlab.isc.org/isc-projects/bind9/-/issues/1619">https://gitlab.isc.org/isc-projects/bind9/-/issues/1619</a></pre><pre><br></pre><pre>For your information, you cannot whitelist with wildcards anymore</pre><pre>starting from bind 9.14.6 and newer.</pre><pre><br></pre><pre>What still works is if the blacklist contains a wildcard then you can</pre><pre>whitelist this with the same wildcard. For example, you can add the</pre><pre>following to rpz1:</pre><pre><br></pre><pre>*.tst.test.com  IN CNAME        rpz-passthru.</pre><pre><br></pre><pre><br></pre><pre>Daniel</pre><pre><br></pre><pre>On 02.06.20 13:58, Paulo Cáceres wrote:</pre><pre>Hi list,</pre><pre>I'm writing this email to ask if the changes I detected in bind</pre><pre>behaviour are as expected or I'm facing some unexpected behaviour.</pre><pre><br></pre><pre>I searched for this, without success, so now I'm posting this issue I</pre><pre>found between bind versions, 9.14.5 and 9.16.3.</pre><pre><br></pre><pre>I have an old testing machine running bind 9.14.5 with RPZ zones. The</pre><pre>first one (rpz1) is working as an whitelist and the second one (rpz2) is</pre><pre>automatic populated, as you can check in config bellow:</pre><pre><br></pre><pre>response-policy {</pre><pre>                zone "rpz1";</pre><pre>                zone "rpz2";</pre><pre>        } qname-wait-recurse no break-dnssec yes;</pre><pre><br></pre><pre>For example, in rpz1 zone I have something like this:</pre><pre>test.com              IN CNAME        rpz-passthru.</pre><pre>*.test.com            IN CNAME        rpz-passthru.</pre><pre><br></pre><pre>And, for example, in rpz2 zone, which are automatic populated, at same</pre><pre>point may have:</pre><pre>tst.test.com IN CNAME        secure.test.</pre><pre>*.tst.test.com       IN CNAME        secure.test.</pre><pre><br></pre><pre>when this config is running on the machine with bind 9.14.5, if you</pre><pre>query it for tst.test.com, it simply passthru it because it match on the</pre><pre>rpz1 zone (*.test.com), acting as whitelist as expected. </pre><pre>If I run the same query on a new machine with bind 9.16.3, running the</pre><pre>same config, it will rewrite it to secure.test, matching it in the rpz2</pre><pre>zone.</pre><pre><br></pre><pre>Is this second result (on the last version) the expected behaviour? What</pre><pre>version are deviating from the expected one?</pre><pre><br></pre><pre>Best regards,</pre><pre>Paulo</pre><pre><br></pre><pre>_______________________________________________</pre><pre>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list</pre><pre><br></pre><pre>ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/">https://www.isc.org/contact/</a> for more information.</pre></blockquote><div><span><pre>-- <br></pre><div><b style="white-space: normal; caret-color: rgb(0, 64, 112); color: rgb(0, 64, 112); font-family: "Gill Sans MT", sans-serif;">Paulo Cáceres<br></b><span style="white-space: normal; caret-color: rgb(0, 64, 112); color: rgb(0, 64, 112); font-family: "Gill Sans MT", sans-serif;">SIN-Área de Sistemas de Informação</span><div style="white-space: normal;"><font color="#004070" face="Gill Sans MT, sans-serif"><pre><br></pre></font><div><div><span style="caret-color: rgb(0, 64, 112); color: rgb(0, 64, 112); font-family: "Gill Sans MT", sans-serif;"><img src="cid:7f94ffd04ca33f96f8ce16f5f985b3e52aced3b1.camel@adp.pt"><br></span></div><div><pre><span style="caret-color: rgb(63, 63, 63); color: rgb(63, 63, 63); font-family: "Gill Sans MT", sans-serif; font-size: 14px;"><br></span></pre><pre><span style="caret-color: rgb(63, 63, 63); color: rgb(63, 63, 63); font-family: "Gill Sans MT", sans-serif; font-size: 14px;">Escritório/Sede: Fábrica de Água de Alcântara, Avenida de Ceuta | 1300-254 LISBOA | Tel: 213107900 | http://www.aguasdotejoatlantico.adp.pt</span></pre></div></div><div><pre><span class="-x-evo-resizable-wrapper"><a href="https://www.aguasdotejoatlantico.adp.pt/"><img src="cid:6c470db70000373df4e9bf0fd87007a15b8fedc2.camel@adp.pt" data-uri="file:///home/pcaceres/Downloads/image00200.jpg" data-inline="" data-name="image00200.jpg" width="602"></a></span><br></pre></div><div><p class="MsoNormal" style="margin: 0cm 0cm 8pt; font-family: Calibri, sans-serif; caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); line-height: 15.546667098999023px;"></p><pre><span style="caret-color: rgb(0, 0, 0); font-size: 8pt; line-height: 14.84000015258789px; font-family: "Gill Sans MT", sans-serif; color: rgb(92, 173, 69);">Tenha uma EcoAtitude.</span><span style="caret-color: rgb(0, 0, 0); font-size: 8pt; line-height: 14.84000015258789px; font-family: "Gill Sans MT", sans-serif; color: rgb(0, 64, 112);"> Imprima este e-mail apenas se necessário.</span></pre><p class="MsoNormal" style="margin: 0cm 0cm 8pt; font-family: Calibri, sans-serif; caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); line-height: 15.546667098999023px;"><span style="color: rgb(125, 125, 125); font-family: "Gill Sans MT", sans-serif; font-size: 8pt;">Esta mensagem e os ficheiros anexos podem conter informação confidencial ou interna. Se, por engano, receber esta mensagem, solicita-se que informe de imediato o remetente e que elimine a mensagem e ficheiros anexos sem os reproduzir.</span></p><p class="MsoNormal" style="margin: 0cm 0cm 8pt; font-family: Calibri, sans-serif; caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); line-height: 15.546667098999023px;"><span style="color: rgb(125, 125, 125); font-family: "Gill Sans MT", sans-serif; font-size: 8pt;">This message and any files herewith attached may contain confidential or internal information. If you receive this message in error, please notify us immediately and delete this message and any files attached without copying them in any way.</span></p></div></div></div></span></div></body></html>