рассматривается всё, что возможно применить под опёнком.
нужно как-то привести ресолв к такому виду, когда в ответ клиенту на его запрос идёт положительный ресолв, либо нихрена(не вижу что это может сломать. но нежелательно, бо некошерно), либо отрицательный(но только если истёк некий таймаут).

немного развёрнуто: сейчас используется bind 9.10.6. в форварде два сервера- быстрый(через dns-crypt) мало что знает, медленный(через tor) знает больше, но не подходит как основной. т.е. нужно заставить днс-сервер ждать ответа от медленного сервера и отдавать его, если быстрый сервер не смог отресолвить. выходная нода тора с 20т трафика, проц нагружен более чем наполовину

• dns. управление алгоритмом форварда,Pahanivo, 15:41 , 25-Май-18
• dns. управление алгоритмом форварда,Аноним, 15:56 , 25-Май-18
• dns. управление алгоритмом форварда,Аноним, 16:49 , 25-Май-18
  • dns. управление алгоритмом форварда,BABUT, 17:19 , 25-Май-18
    • dns. управление алгоритмом форварда,eRIC, 18:54 , 25-Май-18
      • dns. управление алгоритмом форварда,BABUT, 19:13 , 25-Май-18
        • dns. управление алгоритмом форварда,eRIC, 19:51 , 26-Май-18
    • dns. управление алгоритмом форварда,Аноним, 19:35 , 25-Май-18
      • dns. управление алгоритмом форварда,BABUT, 20:16 , 25-Май-18
        • dns. управление алгоритмом форварда,Pahanivo, 00:29 , 26-Май-18
          • dns. управление алгоритмом форварда,universite, 17:15 , 26-Май-18

к чему весь этот цирк?

> рассматривается всё, что возможно применить под опёнком.
> нужно как-то привести ресолв к такому виду, когда в ответ клиенту на
> его запрос идёт положительный ресолв, либо нихрена(не вижу что это может
> сломать. но нежелательно, бо некошерно), либо отрицательный(но только если истёк некий
> таймаут).
> немного развёрнуто: сейчас используется bind 9.10.6. в форварде два сервера- быстрый(через
> dns-crypt) мало что знает, медленный(через tor) знает больше, но не подходит
> как основной. т.е. нужно заставить днс-сервер ждать ответа от медленного сервера
> и отдавать его, если быстрый сервер не смог отресолвить. выходная нода
> тора с 20т трафика, проц нагружен более чем наполовину

Исходники доступны. Пишите, патчите...

dnsmasq умеет слать запрос сразу всем апстримам и отдавать первый ответ (если я правильно понял задачу).

# By default, when dnsmasq has more than one upstream server available, it will
# send queries to just one server. Setting this flag forces dnsmasq to send all
# queries to all available servers. The reply from the server which answers first
# will be returned to the original requester.
all-servers

> dnsmasq умеет слать запрос сразу всем апстримам и отдавать первый ответ (если
> я правильно понял задачу).

нужен не первый, а положительный, и пусть он хоть десятым будет

> нужен не первый, а положительный, и пусть он хоть десятым будет

как вы отличаете положительный и отрицательный ответ? NXDOMAIN в качестве отрицательного?

> как вы отличаете положительный и отрицательный ответ? NXDOMAIN в качестве отрицательного?

не пойдёт?

> не пойдёт?

нет

> нужен не первый, а положительный, и пусть он хоть десятым будет

Такое вряд лди где-то реализовано. Бинд вроде умеет сопоставлять форвардеры с доменами, т.е. например запросы *.home слать одному апстриму, а все остальные - другому. Вам не это нужно случайно?

> Такое вряд лди где-то реализовано. Бинд вроде умеет сопоставлять форвардеры с доменами,
> т.е. например запросы *.home слать одному апстриму, а все остальные -
> другому. Вам не это нужно случайно?

как частное решение возможно- для тех же .onion, но вообще это не есть гуд, бо полумера.
вот, с подачи одного камрада, нашёл интересную заметку https://kb.isc.org/article/AA-00376/192
но пока что у меня вместо запроса к другому адресу(сделал алиас 127.0.0.2 на локалхосте, и в файле зоны(сразу в "zone ." нельзя- ругается, что в зоне с типом redirect нельзя указывать директиву forwarders :\)) указал этот адрес, а фаерволом перехватываю обращения на 53 порт по этому адресу и перенаправляю(так как торовский днс висит на своём нестандартном порту, но на 127.0.0.1. сразу указать в файле зоны кастомный порт, так понимаю, нельзя) на нужный порт по адресу 127.0.0.1. это почти работает- яндекс ресолвится в яндекс, а флибуста ресолвится.. в 127.0.0.2. ну это ожидаемо, если исходить из обычного понимания такого описания зоны, но этот случай, так понимаю, необычный для бинда.. ну должен быть необычным, и интерпретироваться иначе. или же в заметке какая-то опечатка. вообщем пока в тупике.

зы: алиас локалхосту, конечно, лишний- ступил. до обращения на него дело не дойдёт- фаервол подправит раньше

> вот, с подачи одного камрада, нашёл интересную заметку https://kb.isc.org/article/AA-00376/192
> но пока что у меня вместо запроса к другому адресу(сделал алиас 127.0.0.2
> на локалхосте, и в файле зоны(сразу в "zone ." нельзя- ругается,
> что в зоне с типом redirect нельзя указывать директиву forwarders :\))

гы. а какой глубинный смысл указывать с зоне типа "redirect" директиву "forwarders",
когда ВСЕ записи данной зоны по сути и состоять из форвардов. ты бы ман почитал по
данному типу зоны, ссылку с описанием которой кинул.
но, есть нюанс: запрос должен для начала по NXDOMAIN отлупиться.

> указал этот адрес, а фаерволом перехватываю обращения на 53 порт по

мда. уж на че богат биндец настройками, один фиг новое извращение придамають.

ты на пальцах объясни чего городишь, а то какая-то муть

> ты на пальцах объясни чего городишь, а то какая-то муть

Он городит очередной 100500 "безопасный" DNS сервис.