Uso de resolvers RPZ a partir do BIND utilizando forward

Em cenários onde já existe um servidor BIND9 em produção, é possível integrar a proteção de DNS RPZ da Planisys sem substituir o resolver existente.

Isso é obtido configurando o BIND para que encaminhe (forward) determinadas consultas — ou todas — para os resolvers RPZ.

Dessa forma:

  • O BIND continua sendo o resolver local

  • O RPZ aplica as políticas de segurança (bloqueios, redirecionamentos etc.)

  • Evita-se modificar a infraestrutura existente

Configuração básica

Editar o arquivo de configuração do BIND, geralmente:

/etc/bind/named.conf.options

E adicionar uma configuração de forward:

options {
    recursion yes;
    allow-recursion { any; };

    forwarders {
        xxx.xxx.xxx.xxx;   // IP resolver RPZ
        yyy.yyy.yyy.yyy;   // IP resolver RPZ secundario
    };

    forward only;
};

Nota

A opção forward only garante que todas as consultas sejam enviadas exclusivamente para os resolvers RPZ, evitando resolução direta.

Forward por domínio específico (opcional)

Se desejar aplicar RPZ apenas a determinados domínios, pode-se utilizar uma forward zone:

zone "example.com" {
    type forward;
    forward only;
    forwarders {
        xxx.xxx.xxx.xxx;
        yyy.yyy.yyy.yyy;
    };
};

Isso permite:

  • Aplicar RPZ apenas a domínios específicos

  • Manter resolução normal para o restante

Fluxo de resolução

Cliente → BIND → Resolver RPZ → Internet
                 ↓
              Política RPZ

O resolver RPZ aplicará:

  • NXDOMAIN (bloqueio)

  • CNAME (redirecionamento)

  • PASSTHRU (permitido)

Vantagens

  • Não requer substituir o BIND

  • Integração rápida

  • Permite testes controlados

  • Compatível com infraestrutura existente

Considerações

  • Se forward only não for utilizado, o BIND pode resolver diretamente e evitar o RPZ

  • Garantir conectividade com os resolvers RPZ (porta 53 UDP/TCP)

  • Validar que não existam regras locais que interfiram (views, ACLs etc.)

Troubleshooting

Verificar que o BIND esteja utilizando os forwarders:

dig google.com @127.0.0.1

Verificar comportamento do RPZ:

dig dominio-malicioso.com @127.0.0.1

Casos possíveis:

  • Responde NXDOMAIN → RPZ funcionando

  • Resolve normalmente → revisar forward only

  • SERVFAIL → problema de conectividade ou delegação

Logs úteis:

/var/log/named/*
/var/log/syslog

Dica

Para debugging avançado, complementar com análise de logs RPZ nos resolvers.