<div dir="ltr">Good idea, Brian. People should test more.<div>Hope it goes well. Packet captures and Wireshark are your friends.</div><div><br></div><div>Cheers, Greg</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 10 Dec 2024 at 15:25, Cuttler, Brian R (HEALTH) <<a href="mailto:brian.cuttler@health.ny.gov">brian.cuttler@health.ny.gov</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg4000964655124920385">





<div lang="EN-US" style="overflow-wrap: break-word;">
<div class="m_4000964655124920385WordSection1">
<p class="MsoNormal">Greg,<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I have a test server I will enable the changes on before I roll them out to my primary and secondary servers.<br>
The test server is where we make all tests and updates to zone files.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">As I configure the forwarders stanza, I will remove the zone for db.cache and test it out.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Thanks,<u></u><u></u></p>
<p class="MsoNormal">Brian<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Greg Choules <<a href="mailto:gregchoules%2Bbindusers@googlemail.com" target="_blank">gregchoules+bindusers@googlemail.com</a>>
<br>
<b>Sent:</b> Tuesday, December 10, 2024 9:54 AM<br>
<b>To:</b> Cuttler, Brian R (HEALTH) <<a href="mailto:brian.cuttler@health.ny.gov" target="_blank">brian.cuttler@health.ny.gov</a>><br>
<b>Cc:</b> bind-users <<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>><br>
<b>Subject:</b> Re: forwarding non-domain queries<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<table border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100%;border-collapse:collapse">
<tbody>
<tr>
<td style="border:3pt solid rgb(203,203,203);background:rgb(227,82,5);padding:0in 3.75pt">
<p align="center" style="text-align:center;line-height:105%"><i><span style="font-size:10pt;line-height:105%;color:yellow">ATTENTION: This email came from an external source. Do not open attachments or click on links from unknown senders or unexpected emails.</span></i><u></u><u></u></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">And my point is that you just don't need that hint zone definition at all, especially using custom NS in an environment such as this. Maybe try commenting it out and see if it makes any difference.
<u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Greg<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">On Tue, 10 Dec 2024 at 14:48, Cuttler, Brian R (HEALTH) <<a href="mailto:brian.cuttler@health.ny.gov" target="_blank">brian.cuttler@health.ny.gov</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12pt">Greg,<br>
<br>
Yes, I do have that but it looks like this<br>
<br>
(/etc/dns-root is a link to /etc/bind/zones carry over from an older platform)<u></u><u></u></p>
<p class="MsoNormal">These are the servers I want to use as the forwards for all queries that aren’t either local zones or more specific zones in the internal corp network.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">brian@cedar:/etc/dns-root$ more db.cache<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">@ IN A 10.108.43.7<u></u><u></u></p>
<p class="MsoNormal">@ IN A 10.108.43.8<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">@ IN NS @<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Greg Choules <<a href="mailto:gregchoules%2Bbindusers@googlemail.com" target="_blank">gregchoules+bindusers@googlemail.com</a>>
<br>
<b>Sent:</b> Tuesday, December 10, 2024 9:38 AM<br>
<b>To:</b> Cuttler, Brian R (HEALTH) <<a href="mailto:brian.cuttler@health.ny.gov" target="_blank">brian.cuttler@health.ny.gov</a>><br>
<b>Cc:</b> bind-users <<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>><br>
<b>Subject:</b> Re: forwarding non-domain queries<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<table border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100%;border-collapse:collapse">
<tbody>
<tr>
<td style="border:3pt solid rgb(203,203,203);background:rgb(227,82,5);padding:0in 3.75pt">
<p align="center" style="text-align:center;line-height:105%"><i><span style="font-size:10pt;line-height:105%;color:yellow">ATTENTION: This email came from an external source. Do not open attachments or click on links from unknown senders or unexpected emails.</span></i><u></u><u></u></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">Hi Brian.
<u></u><u></u></p>
<div>
<p class="MsoNormal">So in your config you still have a section like this?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">zone ".: {<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">   type hint;<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">   file <whatever>;<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">};<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">You don't need it a) at all anyway, for the reason I gave and b) because you are forwarding everything non-local and if you specify "forward only;" for both global forwarding (last
 resort, similar to default route) *and* all your forward zones - which I recommend you do - then the box will never recurse, so hints become moot.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">I don't know anything about your network topology, addressing or routeing, so I can't guess why traffic (outbound queries from this server?) might be going to either a local router
 or a firewall.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">As an aside, I would try to keep the forwarding to a minimum; if several things forward to the same place(s), try to aggregate them. Also, if the servers you are forwarding to are
 authoritative, I would use one of stub/static-stub/secondary zones instead.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Cheers, Greg<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">On Tue, 10 Dec 2024 at 14:22, Cuttler, Brian R (HEALTH) <<a href="mailto:brian.cuttler@health.ny.gov" target="_blank">brian.cuttler@health.ny.gov</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin:5pt 0in 5pt 4.8pt">
<div>
<div>
<div>
<p class="MsoNormal">Greg,<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Thank you.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Replacing the db.cache file seems to work for replacing the root servers, I saw traffic shift to an internal router were I had expected/previously seen traffic through the FW.<br>
Manager noticed that secondary queries to domain servers were still going through the FW.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">The forwarder zones I have in place now will continue to function since they are more specific than the new fowarders setting, that serves as a forwarder of last resort (for lack
 of a better term and borrowing from words I use for network routing).<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Example.<u></u><u></u></p>
<p class="MsoNormal">Let say I have forwarder zones for
<a href="http://health.ny.gov/" target="_blank">health.ny.gov</a> and <a href="http://ny.gov/" target="_blank">
ny.gov</a> and <a href="http://its.ny.gov/" target="_blank">its.ny.gov</a>, those will continue to word when I add a forwarders statement for the servers that
<a href="http://ny.gov/" target="_blank">ny.gov</a> servers for all more generic queries.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Many thanks,<u></u><u></u></p>
<p class="MsoNormal">Brian<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Greg Choules <<a href="mailto:gregchoules%2Bbindusers@googlemail.com" target="_blank">gregchoules+bindusers@googlemail.com</a>>
<br>
<b>Sent:</b> Monday, December 9, 2024 6:26 PM<br>
<b>To:</b> Cuttler, Brian R (HEALTH) <<a href="mailto:brian.cuttler@health.ny.gov" target="_blank">brian.cuttler@health.ny.gov</a>><br>
<b>Cc:</b> bind-users <<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>><br>
<b>Subject:</b> Re: forwarding non-domain queries<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<table border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100%;border-collapse:collapse">
<tbody>
<tr>
<td style="border:3pt solid rgb(203,203,203);background:rgb(227,82,5);padding:0in 3.75pt">
<p align="center" style="text-align:center;line-height:105%"><i><span style="font-size:10pt;line-height:105%;color:yellow">ATTENTION: This email came from an external source. Do not open attachments or click on links from unknown senders or unexpected emails.</span></i><u></u><u></u></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">Hi Brian.
<u></u><u></u></p>
<div>
<p class="MsoNormal">If that's what you want to do; answer authoritatively from local zones you own and forward everything else to Corporate, then you have it correct. "forwarders {...etc" and "forward
 only;" go in the "options" block.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Since you are forwarding everything that's not local *and* disabling recursion if forwarding fails, you don't need the hint zone at all; please delete it.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Actually you don't need it anyway, even if you are doing recursion, as Internet root hints have been built into BIND for many years. The only reason you would need a hint zone is
 to define custom roots for a private network that is *completely* isolated from the Internet. Your corporate network does not meet that criterion because your corporate DNS servers will be answering names from the Internet. Therefore, lose the hint zone.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">I hope that helps.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Greg<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">On Mon, 9 Dec 2024 at 21:34, Cuttler, Brian R (HEALTH) via bind-users <<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin:5pt 0in 5pt 4.8pt">
<div>
<div>
<div>
<p class="MsoNormal">Hello, looking for a sanity check.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Inside our network we are running BIND 9.18.28-0ubuntu0.22.04.1-Ubuntu on Ubuntu  22.04.5 LTS<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Currently our server serves our own zones files - A/CNAME/PTR/TXT/etc records for our domain.<br>
We have already modified the db.cache file to reference two servers provided by our corporate IT rather than using the internet root servers.<u></u><u></u></p>
<p class="MsoNormal">We have numerous forwarder zones for corporate zones, both forward and reverse zones.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">We are looking to no longer use recursion but rely entirely on the corporate servers for anything we would normally resolve from external servers.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<pre style="vertical-align:baseline">I think all we need to do is create a forwarders stanza set “forwarder only” , similar to(but with the correct IPS)<u></u><u></u></pre>
<pre style="vertical-align:baseline"><br><span style="color:rgb(12,13,14);border:1pt none windowtext;padding:0in">        forwarders {</span><u></u><u></u></pre>
<p class="MsoNormal" style="vertical-align:baseline">
<span style="font-size:10pt;color:rgb(12,13,14);border:1pt none windowtext;padding:0in">            1.2.3.4;             # External DNS</span><u></u><u></u></p>
<p class="MsoNormal" style="vertical-align:baseline">
<span style="font-size:10pt;color:rgb(12,13,14);border:1pt none windowtext;padding:0in">            1.2.3.5;             # External DNS</span><u></u><u></u></p>
<p class="MsoNormal" style="vertical-align:baseline">
<span style="font-size:10pt;color:rgb(12,13,14);border:1pt none windowtext;padding:0in">        };</span><u></u><u></u></p>
<p class="MsoNormal" style="vertical-align:baseline">
<span style="font-size:10pt;color:rgb(12,13,14);border:1pt none windowtext;padding:0in">        forward only;</span><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">The desire is to continue to use our own zone files, and to continue to use the already established fowarder zones, but to replace recursion managed by our own internal servers
 with queries to ONLY the 2 servers we are already using as replacement root servers.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Seems so simple that I have to believe I’ve missed something.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Thanks in advance,<u></u><u></u></p>
<p class="MsoNormal">Brian<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif">Brian Cuttler, System and Network Administration</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif">Wadsworth Center, NYS Department of Health</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif">Albany, NY 12201 POB 509</span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif"><a href="mailto:Brian.Cuttler@Health.NY.gov" target="_blank"><span style="color:rgb(5,99,193)">Brian.Cuttler@Health.NY.gov</span></a></span><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:12pt;font-family:Arial,sans-serif">518 486-1697</span><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
</div>
<p class="MsoNormal">--
<br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">
https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at
<a href="https://www.isc.org/contact/" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><u></u><u></u></p>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>

</div></blockquote></div>