Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 9921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need to Log DNS Queries

skydiver
I am using the Sophos as my DNS forwarder on all my internal networks.  I do not allow dns off network directly only through the Sophos Forwarder.

I am trying to create some custom firewall allow rules for a protected network segment that will be activated in our restaurants from customer Kiosks.  The problem I am having is that I am not getting access to all of the internet sites I need to.  There are some FQDN sites that I am not aware of that I haven't been able to white list yet.  I would like to be able to view DNS query requests from my test device to find out what I am missing for our ruleset.  How can I view/capture these data?  My UTM Support rep says that there is not a way to do this but I am willing to drop to the SSH on the utm if necessary to capture the data.


This thread was automatically locked due to age.
  • 0
    Command line:
    # tcpdump -tttt -n -s 0 udp port 53


    Include "-i ethX" to specify an interface.  Append "and host n.n.n.n" to specify a particular IP (your test device?) in addition to UDP port 53
  • 0
    Network Protection > Firewall > Advanced

    Under Logging Options, choose Log Unique DNS Requests.
  • 0 in reply to Scott_Klassen
    Network Protection > Firewall > Advanced

    Under Logging Options, choose Log Unique DNS Requests.

    Which log file will these queries get logged too because I already have this checked and I haven't been able to stumble onto the dns logging anywhere.
    I do see general logging of the DNS request but it doesn't log the actual FQDN of the request. 

    Teched will the tcpdump capture the FQDN? Also if I save the dump locally on the UTM, what would be the best way to pull the file off the UTM via putty on windows?
  • 0 in reply to skydiver
    Which log file will these queries get logged too because I already have this checked and I haven't been able to stumble onto the dns logging anywhere.
    I do see general logging of the DNS request but it doesn't log the actual FQDN of the request. 


    Is this, approximately, what you see? 

    2015:05:15-13:22:25 home ulogd[1234]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="eth1" srcmac="0:01:02:9d:9d:c6" dstmac="0:bd:4e:44:72:ce" proto="17" length="90" srcip="198.51.100.99" dstip="192.0.2.1" hlim="64" srcport="55333" dstport="53"



    Teched will the tcpdump capture the FQDN?

    I do better with specific examples like "This is what I get" (as I provided above with the DNS logline) and "This is what I expect(ed)".

     Also if I save the dump locally on the UTM, what would be the best way to pull the file off the UTM via putty on windows?


    There are a multitude of ways to do this. Here are just three:

    • Using ssh keys (for root)?  scp or rsync over ssh (pscp is a sibling of putty)
    • Using passwords?  copy files to /home/login/, scp/rsync with loginuser credentials
    • Don't like ssh? Copy filename.log to "/var/chroot-httpd/var/webadmin/" and download via web browser https://UTM:4444/filename.log


    Watch the file ownership/permissions if using WebAdmin's webserver or loginuser.
  • 0
    Teched,
    The tcpdump worked.  

    To answer your question about the logging that is exactly what I see.

    This really needs to be part of the default logging capability, especially if we are using the DNS forwarder.
  • 0
    @teched - Very neat trick with https://UTM:4444/filename.log!

    @skydiver - Alan Toews recommended WinSCP to me years ago.  It's free and it works just like FileZilla or other FTP client.  Pair that with an RSA key installed in your UTM and you're good to go.  I like your idea about logging the FQDN - why log DNS requests at all without that?  I hope you add a suggestion at the Features site.

    Cheers - Bob