Uso de `dns-suffix` para redirección informativa
=================================================

En lugar de bloquear un dominio con `NXDOMAIN`, puede configurarse una política de tipo `dns-suffix`
que permita redirigir al usuario a una página informativa (por ejemplo, un portal gubernamental).

Este mecanismo funciona en dos partes:

1. **Configuración en el resolver (RPZ)**:
   Se define una política de tipo `add-suffix` en la sección *Blackhole Domains*.
   Por ejemplo, ante una consulta a `badsite.com`, el resolver responderá con un CNAME como:

   ::

       badsite.com.prohibited.domain.com.

2. **Configuración en la zona DNS del dominio receptor**:
   En la zona `domain.com`, se debe crear la siguiente entrada wildcard:

   ::

       * IN A xxx.xxx.xxx.xxx

   Esto asegura que cualquier subdominio como `badsite.com.prohibited.domain.com`
   resuelva a la IP del servidor web que gestionará la redirección.

3. **Configuración del servidor web (nginx)**:
   En el servidor web que responde en `xxx.xxx.xxx.xxx`, se debe crear un *vhost* de nginx que capture
   cualquier subdominio bajo `prohibited.domain.com` y redirija al sitio deseado.

   A continuación se muestra un ejemplo completo del `nginx.conf`:

   .. code-block:: nginx

      server {
          listen 80;
          server_name .prohibited.domain.com;
          location / {
              return 301 https://government-portal.com;
          }
      }

      server {
          listen 443 ssl;
          server_name .prohibited.domain.com;
          ssl_certificate     /etc/nginx/ssl/fullchain.pem;
          ssl_certificate_key /etc/nginx/ssl/privkey.pem;
          location / {
              return 301 https://government-portal.com;
          }
      }

Con esta configuración, los usuarios que intenten acceder a dominios prohibidos serán redirigidos
a una página explicativa, en lugar de recibir simplemente un error DNS.