<div dir="ltr">Hi all<br><br>After long time with Bind, I'm moving to NSD and Unbound for my internal DNS infra. <br><br>I'm testing it thru docker containers, one for NSD and another for unbound. I add the zone files on NSD which thru a script loads the zones and (using unbound-control) notifies the unbound service (resolver) to set the zones as stub-zones to forward to NSD.<br><br>Ths is my test zone (I think quite representative):<br><br>dome.              3600    IN      SOA     ns.dome. hostmaster.dome. 2020032501 300 120 600 86400<br>dome.           3600    IN      NS      ns.dome.<br>emba.dome.    3600    IN      NS      ns.dome.<br>ns.dome.      3600    IN      A       192.168.128.128<br>priv.dome.     3600    IN      A       10.0.0.1<br>priv.dome.    3600    IN      TXT "Private record"<br>pub.dome.       3600    IN      A       80.0.0.1<br>pub.dome.     3600    IN      TXT "Public record"<br>alias.dome. 3600    IN  CNAME <a href="http://www.gmail.com">www.gmail.com</a>.<br><br>The problem is expected: my current setup sets the RFC1918 blocks as private, so unbound is stripping the answers for the 'priv.dome':<br><br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1876<br>;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1<br><br>;; OPT PSEUDOSECTION:<br>; EDNS: version: 0, flags:; udp: 1472<br>;; QUESTION SECTION:<br>;priv.dome.                      IN      A<br><br>;; AUTHORITY SECTION:<br>dome.                       3580    IN      NS      ns.dome.<br><br>And on the logs clear states the reason:<br><br>Apr 30 08:43:55 unbound[11:0] debug: sanitize: removing public name with private address <priv.dome.> 10.0.0.1#53<br><br>Obviously the records pointing to public IPs got answered correctly.<br><br>The fix is to add 'dome' on unbound.conf as 'private-domain', however this requires modifying the config file and I didn't found any 'control' command to set the domain as private remotely.<br><br>Is there any alternate solution/workarround? (entirely managing unbound thru unbound-control)<br><br>Additionally, I read many references about unbound NOT being authoritative server, however implements many features and provide the 'auth-zones' config stuff. Could anyone which features/RFCs doesn't implement to not be considered authoritative. I meant what lacks to work as authoritative server ?<br><br><br>Thanks much<br></div>