Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 9924 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need to Log DNS Queries

skydiver
I am using the Sophos as my DNS forwarder on all my internal networks.  I do not allow dns off network directly only through the Sophos Forwarder.

I am trying to create some custom firewall allow rules for a protected network segment that will be activated in our restaurants from customer Kiosks.  The problem I am having is that I am not getting access to all of the internet sites I need to.  There are some FQDN sites that I am not aware of that I haven't been able to white list yet.  I would like to be able to view DNS query requests from my test device to find out what I am missing for our ruleset.  How can I view/capture these data?  My UTM Support rep says that there is not a way to do this but I am willing to drop to the SSH on the utm if necessary to capture the data.


This thread was automatically locked due to age.
Parents
  • 0
    Network Protection > Firewall > Advanced

    Under Logging Options, choose Log Unique DNS Requests.
  • 0 in reply to Scott_Klassen
    Network Protection > Firewall > Advanced

    Under Logging Options, choose Log Unique DNS Requests.

    Which log file will these queries get logged too because I already have this checked and I haven't been able to stumble onto the dns logging anywhere.
    I do see general logging of the DNS request but it doesn't log the actual FQDN of the request. 

    Teched will the tcpdump capture the FQDN? Also if I save the dump locally on the UTM, what would be the best way to pull the file off the UTM via putty on windows?
Reply
  • 0 in reply to Scott_Klassen
    Network Protection > Firewall > Advanced

    Under Logging Options, choose Log Unique DNS Requests.

    Which log file will these queries get logged too because I already have this checked and I haven't been able to stumble onto the dns logging anywhere.
    I do see general logging of the DNS request but it doesn't log the actual FQDN of the request. 

    Teched will the tcpdump capture the FQDN? Also if I save the dump locally on the UTM, what would be the best way to pull the file off the UTM via putty on windows?
Children
  • 0 in reply to skydiver
    Which log file will these queries get logged too because I already have this checked and I haven't been able to stumble onto the dns logging anywhere.
    I do see general logging of the DNS request but it doesn't log the actual FQDN of the request. 


    Is this, approximately, what you see? 

    2015:05:15-13:22:25 home ulogd[1234]: id="2014" severity="info" sys="SecureNet" sub="packetfilter" name="DNS request" action="DNS request" fwrule="60011" initf="eth1" srcmac="0:01:02:9d:9d:c6" dstmac="0:bd:4e:44:72:ce" proto="17" length="90" srcip="198.51.100.99" dstip="192.0.2.1" hlim="64" srcport="55333" dstport="53"



    Teched will the tcpdump capture the FQDN?

    I do better with specific examples like "This is what I get" (as I provided above with the DNS logline) and "This is what I expect(ed)".

     Also if I save the dump locally on the UTM, what would be the best way to pull the file off the UTM via putty on windows?


    There are a multitude of ways to do this. Here are just three:

    • Using ssh keys (for root)?  scp or rsync over ssh (pscp is a sibling of putty)
    • Using passwords?  copy files to /home/login/, scp/rsync with loginuser credentials
    • Don't like ssh? Copy filename.log to "/var/chroot-httpd/var/webadmin/" and download via web browser https://UTM:4444/filename.log


    Watch the file ownership/permissions if using WebAdmin's webserver or loginuser.