"Forwarding name servers" option

The DNS proxy feature in Astaro is neat stuff.  Just enter in your ISP's name servers as the forwarding name servers (two will do nicely), then point your internal machines to the Astaro firewall for DNS resolution.  If you have any rules in your rule set for port 53 (DNS), remove them.  Let the proxy work for you.  Also don't forget to select "Internal Network" in the allowed networks area of the DNS proxy setup screen.

Here's what happens:  your internal machine needs a DNS resolution, so it queries the Astaro firewall.  If the Astaro firewall has the resolution in cache, it sends it back pronto.  If it doesn't, it checks the forwarding name servers, in order, looking for a resolution.

With a properly configured Astaro firewall, there is no reason for any machine on your internal network to directly query a DNS server out on the Internet.

-Steve 

Thanks for the reply.

Yup, I've been using the dns proxy feature since day 1.  Very nice.  Back when I built my own Linux firewall/routers, I also utilized this feature, but in Redhat it's called the "caching name server" package.  [:)]ht out of the box.

I was basically just wondering what exactly the "forwarding name servers" entry does.  Right now things work fine and I have no entries there.  Like I mentioned earlier, I'm assuming Astaro is simply querying the root nameservers each time I do a dns lookup with one of my workstations.  I'm also assuming that, if I add my ISP's name servers to the "forwarding name servers" field, then Astaro will query those, instead.  That sound about right?

-joe 

that is correct.  however, stated in the documentation, it isn't a good idea to let astaro use internet root servers for performance reasons.  I would suggest using your ISP's dns servers.  

Okay, perhaps I'm missing something here.  I entered my ISP's dns servers into the "forwarding name servers" field, and I was immediately no longer able to do any dns queries from machines on my lan.  As soon as I deleted those entries, dns queries began working again.  What's up?
-joe
 

Your ISP's DNS server doesn't know anything about what computers are on your LAN.  You can either edit the hosts file on each machine or you will need to add entries manually for each computer you are trying to get to.  I assume you are talking about a fully qualified domainname like mymail.mydomain.com.

if you are talking about the actually computer name, you will need to run a wins server on your network and add it to your DHCP scope.


HTH... 

No no.  I understand that my ISP doesn't know about my lan.  [:)].

Then, as soon I *removed* my ISP's name servers from that field, DNS queries immediately started working again.

So in conclusion, I *cannot* put my ISP's name servers in that "forwarding name servers" field, or it breaks things.  I was just wondering if there is more to it.  [:)]
-joe
 

sorry I read that wrong.

make sure you have the correct DNS server.  to check use nslookup

at the prompt type: server serveryouwanttochecksIP
then type: google.com

that should to resolve to a name if it's working right and is infact a dns server.

you may have to do a release and renew on your client machine to make sure it gets the DNS server from DHCP.

Hope that is more helpful....
 

But despite what I enter in "forwarding name servers" field in the Astaro config, my workstations still just have the Astaro box listed as their name server, since I'm using the Astaro box as the dns proxy for the workstations.  This means dhcp should not have to be renewed on the workstations if I change the "forwarding name servers" option on the server.

As far as the name servers themselves, they are indeed the correct IP addresses.  These are the name server addresses I used to use on my workstations before I enabled the Astaro dns proxy.  I guess for now I'm just going to leave the "forwarding name servers" option blank in Astaro.  Things work fine when it's blank.  [:)]e servers" feature.
-joe 

[ QUOTE ]
But despite what I enter in "forwarding name servers" field in the Astaro config, my workstations still just have the Astaro box listed as their name server, since I'm using the Astaro box as the dns proxy for the workstations.  This means dhcp should not have to be renewed on the workstations if I change the "forwarding name servers" option on the server.


[/ QUOTE ]

I was thinking about your DHCP scope.  In mine, I have the astaro internal interface as my first DNS server and in the second DNS server I have my ISP's DNS Server.  I took out my ISP's DNS server out of my dchp scope so that my config would look like yours.  Mine still worked.  I don't know why yours isn't working.

What happens when you do an NSLookup using Astaros's DNS Server?

What happens when you do it from the a SSH shell on the actually ASL box? 

[ QUOTE ]
But despite what I enter in "forwarding name servers" field in the Astaro config, my workstations still just have the Astaro box listed as their name server, since I'm using the Astaro box as the dns proxy for the workstations.  This means dhcp should not have to be renewed on the workstations if I change the "forwarding name servers" option on the server.


[/ QUOTE ]

I was thinking about your DHCP scope.  In mine, I have the astaro internal interface as my first DNS server and in the second DNS server I have my ISP's DNS Server.  I took out my ISP's DNS server out of my dchp scope so that my config would look like yours.  Mine still worked.  I don't know why yours isn't working.

What happens when you do an NSLookup using Astaros's DNS Server?

What happens when you do it from the a SSH shell on the actually ASL box? 

Also, check your livelog, looking for port 53 being dropped for some reason.