<div dir="ltr"><div>Hi,</div><div><br></div><div>I am new to powerdns and wanted to implement a kind of extended sinkhole by whitelisting some domains by using a RPZ file.</div><div><br></div><div>The aim is<br></div><div><br></div><div>- to allow only certain domain(s) for a certain IP but drop all other domains<br></div><div>- and allow all domains for all other clients</div><div><br></div><div>The rpz is quite simple</div><div><br></div><div><a href="http://microsoft.com" target="_blank">example.net</a>.                 CNAME   rpz-passthru. ; allow for all including 192.168.16.100<br>*.<a href="http://microsoft.com" target="_blank">example.net</a>               CNAME   rpz-passthru.  ; allow for all including 192.168.16.100<br><br>32.100.16.168.192.rpz-client-ip      CNAME rpz-drop. ; drop every other request for 192.168.16.100<br><br>0.0.0.0.0.rpz-client-ip      CNAME rpz-passthru. ; allow all domains for all other clients<br></div><div><br></div><div>This works perfect unless an allowed client resolves a records forbidden for 192.168.16.100 as afterwards this record is answered from the cache for 192.168.16.100.</div><div><br></div><div>I already saw discussions on the precendes of cached records like <a href="https://www.mail-archive.com/pdns-users@mailman.powerdns.com/msg10763.html" target="_blank">https://www.mail-archive.com/pdns-users@mailman.powerdns.com/msg10763.html</a></div><div><br></div><div>However the solution to disable caching via <a href="https://docs.powerdns.com/recursor/lua-scripting/dq.html#DNSQuestion.variable" target="_blank">https://docs.powerdns.com/recursor/lua-scripting/dq.html#DNSQuestion.variable</a> for certain records is in a blacklisting scenario workable but not in a whitelisting like scenario as above. It would mean that I would need to disable caching for all records but the the whitelisted ones.</div><div><br></div><div>Is there a solution for my scenario let me still utilize caching?<br></div><div><div><br></div><div>Thanks</div></div></div>