<div dir="ltr"><div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 19, 2019 at 11:44 AM abubin <<a href="mailto:abubin@gmail.com">abubin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">How do I do plain recursion with only pdns installed? AFAIK, the new version of pdns does not support recursor anymore. Or maybe I am missing something?</div></blockquote><div><br></div><div>Nico and Brian are referring to running PowerDNS Recursor without any 'forward-zones-recurse' settings. Without the forward for '.' it will be an actual recursor on its own.</div><div><br></div><div>A more broader view/advice on your messages:<br></div><div>I believe this thread and your other one (subject "Problem with DNSSEC from bind to powerdns") all boil down from trying to set up a custom internal-only domain on a public TLD, which is really hard in a public system like DNS - especially with DNSSEC involved, you can't really fool clients any longer. Depending on your situation, you may want to consider moving to a domain that's actually public (what are you afraid of actually?). If you really need to hide stuff from the outside world, you could be creative with delegation on a subdomain, e.g. <a href="http://corp.mydomain.com">corp.mydomain.com</a> delegates to an internal-only visible authoritative server. People from the outside would then only see the zone below <a href="http://corp.mydomain.com">corp.mydomain.com</a> exists, but cannot query it receiving SERVFAILs. Your internal recursors can resolve them and you can even set up DNSSEC to work with it, which may or may not be useful in such an internal-only domain anyway.</div><div><br></div><div>HTH<br></div></div></div></div>