<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 19/01/2021 08:40, Dedan Irungu via
      Pdns-users wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CA+mx+SvMskFvWhpDytD-=NGxpXGKQ87nah3ag5kJGowmNjQNjw@mail.gmail.com"> 
         recursive_ips:addMask('<a href="http://0.0.0.0/0"
        moz-do-not-send="true">0.0.0.0/0</a>') -- These network masks
      are the ones from allow-recursion in the Authoritative Server<br>
      <br>
           addAction(NetmaskGroupRule(recursive_ips),
      PoolAction('recursor'))<br>
    </blockquote>
    <p>These two lines together say: "for incoming queries from *any* IP
      addresses: send them to the recursor".<br>
    </p>
    <p>Try changing the first one to something like:</p>
    <p>    recursive_ips:addMask('<a href="http://0.0.0.0/0">192.168.0.0/16</a>')  
      -- netblock containing your local clients<br>
    </p>
    <p>Then queries from 192.168.x.x will go to the recursor, whereas
      queries from any *other* addresses will go to the authoritative
      server.<br>
    </p>
  </body>
</html>