Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 315 views
  • Users 0 members are here
Options
Suggested

[7.891][NOTABUG][CLOSED] DNS only proxies one network

BAlfson
Yesterday, I looked at utm_kid's box becase he was having troubles trying to surf from his W2K8 server in his DMZ.  I watched both his HTTP and Packet Filter live logs while he attempted access, and there was no indication inn the HTTP Live Log of traffic from his server.  In the PF Live Log, there were drops to both DNS Forwarders listed in the DNS Proxy: 
19:10:29 Default DROP UDP 192.168.DMZ.225 : 55772 → 202.54.29.5 : 53 len=50 ttl=127 tos=0x00 srcmac=0:1c:c0:aa:21:8c dstmac=0:50:ba:89:a1:58

There were plenty of lines in the HTTP Live Log from his laptop in "Internal (Network)."

Finally, to work around the DNS bug, I made a packet filter rule 

'DMZ (Network) → DNS → {Forwarders group} : Allow'

 That allowed the DNS traffic, and the server could then access the Internet.

Cheers - Bob
  • 0
    From what i understand, this is intentional.

    You have a server in the DMZ (separate interface i guess)
    That server doesn't use the ASG for DNS, instead it uses the DNS Server of the Provider
    Then you have to add a PF rule to the ASG to allow this traffic.

    Why don't you use the ASG as the forwarder?
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.891
    Type: NOTABUG
    State: CLOSED
    Reporter: BAlfson
    Contributor:  
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0 in reply to kbr
    Exactly, and that was what Billybob discovered for him yesterday.  For some reason, I was thinking yesterday that the DNS Proxy was transparent, but I knew it wasn't.

    The text in WebAdmin, Help and User's Manual should say explicitly something like: "Networks listed here are allowed to use the system as a recursive DNS resolver. This is not a transparent proxy; DNS requests not explicitly addressed to an Astaro interface won't be answered by this resolver."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    So, just for me to understand this correctly:

    • utm_kids problem is solved now
    • the "problem" is now well understood by everyone
    • the only thin left to do is for us (Astaro) to improve the help texts


    Or am i getting something wrong?
Cookie Information Banner