Resolvido! Não foi possível encontrar uma maneira de fazer isso com o BIND, mudado para o PowerDNS, o recursor configurado para ser o serviço de DNS do fornecedor e nenhum cache ativado, agora está funcionando conforme necessário.
Vamos ver se alguém poderia me ajudar. No meu cenário, eu tenho um serviço DNS de um fornecedor que deve receber todas as consultas e verificar uma lista branca para resolver um domínio ou não. Para responder a consultas, o endereço IP de origem deve ser apenas um endereço IP confiável, que é de um servidor DNS público que tenho em minha DMZ. Então, configurei o BIND como "somente encaminhamento". Todos os clientes consultam meu servidor DNS público e estão encaminhando para o serviço DNS do fornecedor.
Problema: Existem algumas páginas que contêm conteúdo de diferentes fontes ou feeds de outros sites e domínios diferentes. Quando eu consultar de minha estação local diretamente para o serviço de DNS do fornecedor, os domínios que são permitidos são respondidos e eu tenho uma página parcial carregada (o conteúdo de domínios não permitidos não é respondido e a página da Web não é carregada corretamente). Esse é um comportamento esperado. Quando eu consultar através do meu servidor DNS público, que deve apenas encaminhar as consultas, não tenho qualquer parte da página carregada. Parece que, após uma primeira negação, a página parou de ser carregada ou o meu servidor DNS público não está encaminhando todas as consultas para o serviço DNS do fornecedor.
Você já teve algum problema semelhante? Deve ser um problema linux / OS, uma configuração de segurança do BIND ou devo definir algum outro parâmetro para encaminhar todas as consultas?
Aqui está o meu arquivo named.conf.options:
options {
directory "/var/cache/bind";
recursion yes;
allow-query { any; };
forward only;
forwarders{ X.X.X.X; Y.Y.Y.Y; };
allow-recursion { any; };
allow-query-cache {any; };
clients-per-query 0;
recursive-clients 0;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
Obrigado antecipadamente!
Resolvido! Não foi possível encontrar uma maneira de fazer isso com o BIND, mudado para o PowerDNS, o recursor configurado para ser o serviço de DNS do fornecedor e nenhum cache ativado, agora está funcionando conforme necessário.