Greetings,<div><br></div><div>After configuring private-address (and private-domain) entries I was hoping that unbound would simply strip the private IP addresses from responses.</div><div>However in my testing (unbound 1.4.8 and previous versions) I'm seeing that the queries will SERVFAIL, also for domains whose NS records point to a name that resolves to a private address, for example:</div>
<div><br></div><div>private-address: <a href="http://192.168.0.0/16">192.168.0.0/16</a></div><div>private-address: <a href="http://127.0.0.1/8">127.0.0.1/8</a></div><div><br></div><div><div>$ dig <a href="http://smithfield.com">smithfield.com</a> @unbound</div>
<div><br></div><div>;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 22290</div><div><br></div><div>;; QUESTION SECTION:</div><div>;<a href="http://smithfield.com">smithfield.com</a>.<span class="Apple-tab-span" style="white-space:pre">                  </span>IN<span class="Apple-tab-span" style="white-space:pre">  </span>A</div>
<div><br></div><div>;; Query time: 904 msec</div></div><div><br></div><div><br></div><div>$ dig @<a href="http://ns2.ndshq.com">ns2.ndshq.com</a>. <a href="http://smithfield.com">smithfield.com</a></div><div><br></div><div>
<div>;; ANSWER SECTION:</div><div><a href="http://smithfield.com">smithfield.com</a>.         38400 IN    A     72.3.245.136</div><div><br></div><div>;; AUTHORITY SECTION:</div><div><a href="http://smithfield.com">smithfield.com</a>.         38400 IN    NS    <a href="http://ns1.ndshq.com">ns1.ndshq.com</a>.</div>
<div><a href="http://smithfield.com">smithfield.com</a>.         38400 IN    NS    <a href="http://ns2.ndshq.com">ns2.ndshq.com</a>.</div><div><a href="http://smithfield.com">smithfield.com</a>.         38400 IN    NS    <a href="http://ns0.ndshq.com">ns0.ndshq.com</a>.</div>
<div><br></div><div>;; ADDITIONAL SECTION:</div><div><a href="http://ns0.ndshq.com">ns0.ndshq.com</a>.          38400 IN    A     192.168.6.11</div><div><a href="http://ns1.ndshq.com">ns1.ndshq.com</a>.          38400 IN    A     65.173.99.98</div>
<div><a href="http://ns2.ndshq.com">ns2.ndshq.com</a>.          38400 IN    A     173.50.95.13</div><div><br></div><div><div><br></div><div><br></div><div><br></div><div>$ dig <a href="http://mailfrom.com">mailfrom.com</a> @unbound</div>
<div><br></div><div>;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 46581</div><div><br></div><div>;; QUESTION SECTION:</div><div>;<a href="http://mailfrom.com">mailfrom.com</a>.<span class="Apple-tab-span" style="white-space:pre">                      </span>IN<span class="Apple-tab-span" style="white-space:pre">  </span>A</div>
</div><div><br></div><div>;; Query time: 2442 msec</div><div><div><br></div><div><br></div><div>$ dig <a href="http://mailfrom.com">mailfrom.com</a> @<a href="http://ns1.sedoparking.com">ns1.sedoparking.com</a>.</div><div>
<br></div><div>;; ANSWER SECTION:</div><div><a href="http://mailfrom.com">mailfrom.com</a>.<span class="Apple-tab-span" style="white-space:pre">          </span>86400<span class="Apple-tab-span" style="white-space:pre">       </span>IN<span class="Apple-tab-span" style="white-space:pre">  </span>A<span class="Apple-tab-span" style="white-space:pre">   </span>127.0.0.1</div>
</div><div><br></div><div><br></div><div><br></div><div>I'm wondering if this is expected behaviour? Should I be seeing SERVFAIL (note long query time) or NOERROR/NODATA with private data stripped?</div><div><br></div>
<div>Thanks very much :-)</div><br>-- <br>Jakub Heichman<br>
</div>