Uso de dns-suffix para redirección informativa

En lugar de bloquear un dominio con NXDOMAIN, puede configurarse una política de tipo dns-suffix que permita redirigir al usuario a una página informativa (por ejemplo, un portal gubernamental).

Este mecanismo funciona en dos partes:

1. Configuración en el resolver (RPZ): Se define una política de tipo add-suffix en la sección Blackhole Domains. Por ejemplo, ante una consulta a badsite.com, el resolver responderá con un CNAME como:

   badsite.com.prohibited.domain.com.
   

2. Configuración en la zona DNS del dominio receptor: En la zona domain.com, se debe crear la siguiente entrada wildcard:

   * IN A xxx.xxx.xxx.xxx
   

   Esto asegura que cualquier subdominio como badsite.com.prohibited.domain.com resuelva a la IP del servidor web que gestionará la redirección.

3. Configuración del servidor web (nginx): En el servidor web que responde en xxx.xxx.xxx.xxx, se debe crear un vhost de nginx que capture cualquier subdominio bajo prohibited.domain.com y redirija al sitio deseado.

   A continuación se muestra un ejemplo completo del nginx.conf:

   server {
       listen 80;
       server_name .prohibited.domain.com;
       location / {
           return 301 https://government-portal.com;
       }
   }
   
   server {
       listen 443 ssl;
       server_name .prohibited.domain.com;
       ssl_certificate     /etc/nginx/ssl/fullchain.pem;
       ssl_certificate_key /etc/nginx/ssl/privkey.pem;
       location / {
           return 301 https://government-portal.com;
       }
   }
   

Con esta configuración, los usuarios que intenten acceder a dominios prohibidos serán redirigidos a una página explicativa, en lugar de recibir simplemente un error DNS.