Expand blackhole description

author Ondřej Surý <ondrej@isc.org>

Thu, 26 Feb 2026 16:13:04 +0000 (17:13 +0100)

committer Mark Andrews (GitLab job 7007005) <marka@isc.org>

Thu, 12 Mar 2026 01:09:03 +0000 (01:09 +0000)
author Ondřej Surý <ondrej@isc.org>
Thu, 26 Feb 2026 16:13:04 +0000 (17:13 +0100)
committer Mark Andrews (GitLab job 7007005) <marka@isc.org>
Thu, 12 Mar 2026 01:09:03 +0000 (01:09 +0000)
diff --git a/doc/arm/reference.rst b/doc/arm/reference.rst

index 06d0befb62f644def55505f8096582ebaec1ff56..fa7782c5057aa621b81de198175df1b1b1d2f717 100644 (file)
--- a/doc/arm/reference.rst
+++ b/doc/arm/reference.rst
@@ -3066,6 +3066,18 @@ for details on how to specify IP address lists.
     from or or cannot use to resolve a query. Queries from these addresses are not
     responded to. The default is ``none``.
  
+   When configuring this list, note that BIND evaluates Access Control Lists
+   sequentially (first match wins). A common misconception is that the directive
+   ``!address;`` blocks everything except that address. In reality, it only
+   explicitly exempts ``address`` from the blackhole; all other IP addresses
+   reach the end of the list without matching, meaning they are also not
+   blackholed.
+
+   To successfully blackhole all traffic *except* specific addresses, you must
+   explicitly catch the remaining traffic with ``any;`` at the end of the list.
+   For example: ``!address; any;``
+
+
  .. namedconf:statement:: no-case-compress
     :tags: server
     :short: Specifies a list of addresses that require case-insensitive compression in responses.
author	Ondřej Surý <ondrej@isc.org>
	Thu, 26 Feb 2026 16:13:04 +0000 (17:13 +0100)
committer	Mark Andrews (GitLab job 7007005) <marka@isc.org>
	Thu, 12 Mar 2026 01:09:03 +0000 (01:09 +0000)