<div class="gmail_quote">2010/5/16 Alexander E. Patrakov <span dir="ltr"><<a href="mailto:patrakov@gmail.com">patrakov@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="im">16.05.2010 22:01, Carsten Krüger wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
is it possible with unbound to allow only lookups on whitelisted<br>
domains and answer all others with 127.0.0.1 or NXDOMAIN?<br>
   <br>
</blockquote>
<br></div>
No.<br></blockquote><div><br></div><div>Well, I wouldn't be so strict, something like this could probably be done using forwarding:</div><div><br></div><div>name: whitelist1.dom</div><div>  forward-addr: 1.2.3.4</div>

<div><br></div><div>name: whitelist2.dom</div><div>  forward-addr: 1.2.3.4</div><div><br></div><div>name: .</div><div>  forward-addr: <ip_of_dummy_nameserver_returning always nxdomain, f.e. running on 127.0.0.2></div>

<div><br></div><div>But you are doing it wrong. DNS is a bad place for this kind of filtering. Implement transparent HTTP proxy with block list or even simple firewall rules are better. Protection on DNS level is very fragile and probably could be easily circumvented if not implemented together with strict firewall rules.</div>

<div><br></div><div>Ondrej</div></div>-- <br>Ondřej Surý <<a href="mailto:ondrej@sury.org">ondrej@sury.org</a>><br><a href="http://blog.rfc1925.org/">http://blog.rfc1925.org/</a><br>