我一直在努力通过以下设置在我的系统上全面使用 DNSSEC：

• dnscrypt-proxy 在 127.0.0.1 上安装、启动并运行 require_dnssec = true
• systemd解析运行，与DNSSEC=yes和DNS=127.0.0.1
• 只有nameserver 127.0.0.1在/etc/resolv.conf
• 通过 NetworkManager 连接到 WiFi 网络，我知道 DHCP 配置将 8.8.8.8 和 8.8.8.4 设置为 DNS 服务器

/run/systemd/resolve/resolv.conf 在 127.0.0.1 下面列出 8.8.8.8 和 8.8.8.4。

resolvectl status 显示

DNSSEC setting: yes
DNSSEC supported: yes
Current DNS Server: 127.0.0.1
DNS Servers: 127.0.0.1

在全局部分，但

 DNSSEC setting: yes
 DNSSEC supported: yes
 Current DNS Server: 8.8.8.8
 DNS Servers: 8.8.8.8
                           8.8.8.4

在我的界面部分（为什么？）。

tcpdump使用 Web 浏览器、dig 或其他正常使用时，在 udp:53 上根本没有显示任何活动。我认为这意味着我的本地 dnscrypt-proxy 正在处理我系统上的所有 DNS …

我的设置变得越来越复杂，通常我倾向于将事物分成几部分，然后自己将它们组装在一起。但这次我似乎需要更多帮助才能让整个齿轮协同工作。这就是为什么用户 @Rui F Ribeiro 要求我将这个问题作为一个单独的问题提出。

我想实现什么目标？基本上我在互联网上发现的称为 DNS 防火墙。
我需要一个配置有以下功能的 BIND 服务器：

• 它希望它能够默认将所有请求转发到外部 DNS（在我的例子中 OpenDNS：208.67.222.222、208.67.220.220）
• 它不能在任何情况下查询根服务器，因为 OpenDNS 有一些有用的域阻止/操作功能。因此，如果我的绑定服务器开始随机向 OpenDNS 和根服务器询问，我每次都会得到不同的结果。（注意：由于各种原因，此转发必须在加密模式下完成，包括不被中间的其他服务器拦截和进一步操纵）
• 绑定服务器还必须充当缓存，可以将查询发送到 OpenDNS，但如果我已经有新鲜数据，则无需一次又一次查询，浪费带宽和时间。
• 这是我的另一个主要请求，这使我的配置变得更加复杂：我想设置一个包含大量域列表的 RPZ 区域，我不希望它们能够被解析，基本上我想让它们解析为 127.0.0.1。 0.1 或我的局域网的另一个 ip/主机，应该作为广告目的等的包罗万象的 http 服务器。

我怎样才能实现如此复杂的配置？

这是我的配置文件，我想这里有些东西没有按需要工作，所以请帮助我进行配置。

命名配置文件

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, …