Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 552 views
  • Users 0 members are here
Options
Suggested

strange DNS problems

BarryG
Hi, we've got 1.9 running with DNS proxy on our server, and the proxy's "External Nameserver" points to the primary DNS server for our domain which is in the DMZ.

For the most part, it works from outside, but sometimes, subdomains can't be resolved, such as mail.mydomain.com

If I use nslookup and set the server to the firewall address, nslookup finds the subdomains fine, but other DNS servers (using bind 8.x) seem to be having trouble.

Does the firewall's DNS proxy accept both UDP and TCP connections from outside? If not, could that be the problem?

If I try the TCP Connect tool on another ASL box to port 53 of this one, I get:
Tue Jul 10 13:50:09 /etc/localtime 2001 

24.0.194.x: inverse host lookup failed: Unknown host
(UNKNOWN) [24.0.194.x] 53 (domain) open
net timeout
 sent 3, rcvd 0
  
But I don't know enough about the DNS protocol to know if this Net Timeout is OK or not.

Thank you,
Barry

[ 10 July 2001: Message edited by: barrygould ]
Parents
  • 0
    hi barry,

    ASL's "DNS proxy" is just that: a proxy for simple DNS record queries per UDP.

    It is not intended to serve as an authorative server for a domain or subdomain, or to relay data for such a server.

    I understand that you are hosting your domains on an extra server in the DMZ.
    Deactivate the external interface for the DNS proxy and re-route port 53 TCP and UDP to your DMZ DNS service via DNAT.

    The NS glue records won't need to be changed.

    /tom
  • 0 in reply to tom_01
    Tom, thanks for answering.

    I was (wishfully) assuming it could be used for a DNS firewall.

    Considering all the holes that are found in bind all the time, I would really like that feature, and I'm sure many others would also.

    DJBDNS has several packages for doing auth-only or forward-only DNS; perhaps it could be used here if BIND is unsuitable for such a job. I believe his license allows redistribution if the sources are unmodifed.

    Meanwhile, what about forwarding TCP port 53 to the real DNS server, and leaving UDP on the proxy? Would this work? Of course, all the holes in bind are probably TCP.   [:(]

    One other comment... I noticed outgoing mail isn't checked for viruses, only incoming. (in 1.9)

    Thanks,
    Barry

    [ 10 July 2001: Message edited by: barrygould ]
  • 0 in reply to BarryG
    Not to be picky, but per specification, DNS is a TCP based service =).

    Alex
  • 0 in reply to Alexander Stade
    Not to be picky, but:

     
    quote:
     UDP is not acceptable for zone transfers, but is the recommended method
    for standard queries in the Internet.  


    Therefore, a full authoritative DNS server must support both TCP and UDP.

    see RFC 1035
Reply Children
No Data
Unfiltered HTML