bind9: encaminhar *cada* NXDOMAIN para um servidor de nomes diferente, mesmo que a zona seja conhecida localmente

Você precisa de uma Response Policy Zone (RPZ) . Ela contém uma série de um ou mais registros que devem substituir qualquer outra resposta. Se um registro for encontrado aqui, ele será retornado. Caso contrário, o comportamento existente do seu servidor de nomes é usado para determinar uma resposta (potencialmente incluindo NXDOMAIN).

Você pode ter vários RPZs contendo subconjuntos distintos de registros, incluindo um que retorna NXDOMAINpara todas as suas entradas. O diferenciador está na policypalavra-chave para a definição de zona, que assume o padrão policy givense omitida.

Adicione isto na sua optionsseção (ou sob o apropriado view, se você estiver usando):

response-policy {
    zone "rpz.local";
    // zone "rpz.nxdomain" policy nxdomain;
};

Então crie seu rpz.localarquivo de zona como de costume. (E opcionalmente, o rpz.nxdomainarquivo de zona também.) Preencha-o com nomes de domínio totalmente qualificados para os hosts que você deseja substituir. Por exemplo,

$TTL    600
@       IN      SOA     localhost. root@localhost. (
                                2024032002      ; Serial (yyyy-mm-dd-nn)
                                7200            ; Refresh (2h)
                                3600            ; Retry (1h)
                                604800          ; Expire (1w)
                                300             ; Negative Cache TTL (5m)
                )
;

@                               NS      localhost.


;#######################################################################
; Domain record overrides
;
unwanted.example.com            A       127.0.0.99
sql.ourdomain.tld               A       192.168.15.5

Observe que o lado esquerdo não usa um ponto final ( .), pois todos os nomes devem ser relativos à raiz, em vez de qualquer um dos seus domínios gerenciados. Não se esqueça de rndc reloadapós cada alteração