<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri",sans-serif;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoPlainText>Thanks for your quick response, <o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>I did that here is the statement in  option section. <o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText><img width=561 height=173 id="Picture_x0020_1" src="cid:image001.png@01D659C1.9BB5A020"><o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>-----Original Message-----<br>From: Daniel Stirnimann [mailto:daniel.stirnimann@switch.ch] <br>Sent: Tuesday, July 14, 2020 9:25 AM<br>To: MEjaz <mejaz@cyberia.net.sa>; bind-users@lists.isc.org<br>Subject: Re: scripts-to-block-domains</p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Hello Mohammed,<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>I don't see that you specified a "response-policy" [1] statement. You need something like this as well:<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>response-policy {<o:p></o:p></p><p class=MsoPlainText>    zone "rpz.local" policy given;<o:p></o:p></p><p class=MsoPlainText>}<o:p></o:p></p><p class=MsoPlainText>// Apply RPZ policy to DNSSEC signed zones break-dnssec yes ;<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>[1]<o:p></o:p></p><p class=MsoPlainText><a href="https://ftp.isc.org/isc/bind9/cur/9.16/doc/arm/html/reference.html#response-policy-zone-rpz-rewriting"><span style='color:windowtext;text-decoration:none'>https://ftp.isc.org/isc/bind9/cur/9.16/doc/arm/html/reference.html#response-policy-zone-rpz-rewriting</span></a><o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Daniel<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>On 14.07.20 08:08, MEjaz wrote:<o:p></o:p></p><p class=MsoPlainText>> Hello all,<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> Thanks for every one’s  contribution.  I use RPZ and listed 5000  <o:p></o:p></p><p class=MsoPlainText>> forged domain to block it in  a particular zone  without having <o:p></o:p></p><p class=MsoPlainText>> addiotnal zones, I hope that’s the feature of  RPZ, Seems good.<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> Below is snippet for your review  for the zone and file  db.rpz.local <o:p></o:p></p><p class=MsoPlainText>> which was copied from the default named.empty.<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> zone "rpz.local" {<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>     type master;<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>     file "db.rpz.local";<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>     allow-query { localhost; };<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> };<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> Once this configuration done I am expecting that whoever quarried to <o:p></o:p></p><p class=MsoPlainText>> our name server for a zone which Is listed in my dns server should not <o:p></o:p></p><p class=MsoPlainText>> allow users to fetch any records as recursive from outside servers, it <o:p></o:p></p><p class=MsoPlainText>> should server from the internal servers only?<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> When I test my configuration with one of the hosted domain in my list <o:p></o:p></p><p class=MsoPlainText>> i.e doubleclick.net, I got all the results rather than throwing an <o:p></o:p></p><p class=MsoPlainText>> error. please correct if I am wrong..<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> Here are the logs.<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>>  <o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> [root@ns20 ~]# tailf /var/log/named/rpz.log<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> 14-Jul-2020 06:49:53.582 rpz: info: client 212.71.32.20#38120: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite test.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> test.doubleclick.net.rpz.local<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> 14-Jul-2020 06:49:55.370 rpz: info: client 213.210.231.227#26654: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite securepubads.g.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> securepubads.g.doubleclick.net.rpz.local<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> 14-Jul-2020 06:50:04.445 rpz: info: client 212.71.32.20#48178: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite mail.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> mail.doubleclick.net.rpz.local<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> 14-Jul-2020 06:50:09.079 rpz: info: client 213.210.231.227#16492: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite stats.g.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> stats.g.doubleclick.net.rpz.local<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> c14-Jul-2020 06:52:07.353 rpz: info: client 213.210.253.163#58635: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite stats.l.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> stats.l.doubleclick.net.rpz.local<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> 14-Jul-2020 06:52:25.272 rpz: info: client 213.210.253.163#57975: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite pagead.l.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> pagead.l.doubleclick.net.rpz.local<o:p></o:p></p><p class=MsoPlainText>> <o:p></o:p></p><p class=MsoPlainText>> 14-Jul-2020 06:55:03.973 rpz: info: client 213.181.164.207#31366: rpz <o:p></o:p></p><p class=MsoPlainText>> QNAME NXDOMAIN rewrite googleads.g.doubleclick.net via <o:p></o:p></p><p class=MsoPlainText>> googleads.g.doubleclick.net.rpz.local<o:p></o:p></p></div></body></html>