<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 24 December 2017 at 02:12, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><br>
RPZ is not able to act on two or more attributes of a response, only one. None of the relevant attributes will be the QTYPE of the query or any of the RRTYPEs of the answer. so, as it is today, RPZ cannot help you with your problem.<br></blockquote><div><br></div><div>Yes, I see that.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
you are correct that there is no trigger in RPZ that does what you need. moreover, there may not be anything in DNS that does what you need. the CNAME returned in the CDN IP4 case will be cached, and your authority server will not receive subsequent queries about any RRset for that alias (CNAME owner). so, even if you use dnsdist, or hand-write your own DNS server, it's not clear that you could ever win.</blockquote><div><br></div><div>I think even if A records is cached (from cname server), the AAAA query will still sent to the authority server. No AAAA in the cache.  </div><div> </div><div>Davey.</div></div><br></div></div>