DNS problems

really nobody having this problem???

hi,

you say "port 53 is at accept" ...
does that mean that you have a rule like
LAN : DNS : ISP-DNS : allow

where ISP-DNS is a network defined as 192.42.93.30/32 ?
or do you use ASL as dns-proxy ?

FYI: even if there are no drop-rules added, there is still the (invisible) last rule active: 
ANY : ANY : ANY : DROP

bye,
michael

hi michael,

I tried both- direct DNS access (but I didn't try for a long time) and DNS Proxy.
First I added only the NS specified in the proxy, then All->DNS->All: Allow and finally with no entry in the proxy (so he takes what he gets).
And everytime I see port 53 being denied...

Thanks, Chris

hi chris,

could you please give some more details about your setup (internal address ranges, NS-configs of your client, ...)

thx,
michael

Ok, here we go:


DSL(DHCP)----ASL----IF(10.0.1.1)->Int(10.0.1.0/24)
              |
              |
             DMZ-IF(10.0.0.1)
              |
             DMZ(10.0.0.0/24)

nice ain't it? ;-)
for my clients I also use DHCP, they get 10.0.1.1 as default gateway and as DNS server. nslookup gives me timeouts.
For the DNS proxy I set up 'IF' and 'DSL'(eth2&eth0) for listening, before I had only eth0(DSL). I allowed Internal and External Networks, and in the Nameserver list I added none (before I had two known root servers in it).
Thanks, Chris

hi chris,

- which ASL version do you use ?

- you only need to allow dns-proxy to listen on 'IF' and allow connects from internal.

- are you able to surf the web or get emails from internal?

bye,
michael

Hi Michael,

I use ASL 3.0.30. I thought I'd have a better chance if I allow also external ;-)
I'm not able to surf or mail, but only with plain IP-adresses- there it works. I can ftp, ping, http and so on- but as soon as DNS is needed, nothing works :-(

Chris

hi chris,

i use 3.020 - here it works. i checked that, because normally i don't use the dns-proxy.
the packets being dropped seem come from the firewall itself. so maybe there's a bug in 3.030 - when activating the dns-proxy there's no rule for outgoing tcp/udp dns-traffic applied ?! is the fw itself able to do name resolution - test with NETWORK / TOOLS / ping www.heise.de ... or does it also cause dropped packets ?

but maybe i'm wrong ...

bye,
michael

The rules on asl only show ACCEPT's:

AUTO_INPUT:
    0     0 ACCEPT     tcp  --  *      *       10.0.1.0/24          0.0.0.0/0          tcp spts:53:65535 dpt:53 
    1    67 ACCEPT     udp  --  *      *       10.0.1.0/24          0.0.0.0/0          udp spts:53:65535 dpt:53 
AUTO_OUTPUT:

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.36.148.17      tcp spts:53:65535 dpt:53 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.36.148.17      udp spts:53:65535 dpt:53 
...and many more...

USR_FORWARD (just trying..)

    0     0 ACCEPT     tcp  --  *      *       80.131.0.0/16        0.0.0.0/0          tcp spts:1:65535 dpt:53 
    0     0 ACCEPT     udp  --  *      *       80.131.0.0/16        0.0.0.0/0          udp spts:1:65535 dpt:53 

...nowhere else port 53 is seen- no drop etc.
Name resolution from the ASL-box is also not working- all are dropped.
  [:(]  
I can't help myself...

Thank you very much,
Chris

Im having the exact same DNS problems on my 3 30 box. Is this thread over? Given up and switched back to 3 20 ?

-chris