Dotaz: Jaký rekurzivní/cache DNS server?

Vašim cílem to je. Ale cílem DNSSEC validujícího resolveru je poskytovat validní odpovědi... Je tedy otázka, zda na tuhle schizofrenii přistoupí autoři toho kterého serveru.

A to se vylučuje? (Navíc, cílem DNS resolveru je poskytovat to, co si jeho administrátor přeje. BTW, i Unbound má volbu „domain-insecure“...)

Vhodné místo to není proto, že tím přístupu k daným službám nezabráníte, pouze si uživatel bude muset IP adresu zjistit jinak. Nastaví si jiný DNS server, zadá si adresy do hosts, použije proxy server, bude používat IP adresu...

No, např. použití proxy serveru asi těžko zabráníte (když je uživatel tak blbý, tak ať ). Ale nevidím důvod, proč vedle např. blokování AS Facebooku(*) zároveň neblokovat taky DNS (pro případ, že by mi něco uniklo )...

(*)Něco jako:

#!/bin/bash

FBFW=/etc/firewall/block-facebook.sh
/usr/bin/whois -h whois.radb.net '!gAS32934' |
                /usr/bin/head -n -1 |
                /usr/bin/tail -n -1 |
                /usr/bin/xargs --max-args=1 |
                /bin/grep "^[0-9]*\.[0-9]*\.[0-9]*\.[0-9]\/[0-9]*$" |
                /usr/bin/xargs -I {} --max-args=1 echo /sbin/iptables -t mangle -I POSTROUTING -d {} -j DROP \
                                > $FBFW.new

if [ -s $FBFW.new ]
then
        /bin/chmod +x $FBFW.new
        /bin/mv -f $FBFW.new $FBFW
else
        /bin/echo "Cannot generate rules for $FBFW!" 1>&2
fi