Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1446 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Proxy Failing Intermittently

SalishSwede
I'm getting very irratic behavior on my 6.103 DNS proxy.  On one interface Astaro will not resolve DNS queries.  I have a Win2k3 server that has been attempting to use the DNS proxy as a forwarder.  I've tried all sorts of work-arounds including allowing DNS through the firewall and using external DNS servers as forwarders.  Still I see irratic behavior.  As an additional note I found that somehow Astaro is dropping UDP packets between interfaces on the same network.  This is very strange indeed since these packets should not be crossing interfaces on the firewall at all.  [see below for details]

The DNS proxy works well when clients are pointed directly to it.  If, however the clients are pointed to the Win2k3 server which then needs to either use the DNS proxy or traverse the firewall for direct DNS functionality, all hell breaks loose.

Can anyone help me with this?
Thanks,

~Doug

Logs showing dropping of port 53 packets within a single network:  [?]  I'm wondering if my switch is somehow misbehaving.

2006:02:17-04:06:03 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:01:02:46:59:7f:08:00 SRC=10.1.1.100 DST=10.1.1.2 LEN=57 TOS=00 PREC=0x00 TTL=64 ID=54096 CE DF PROTO=UDP SPT=1250 DPT=53 LEN=37
2006:02:17-04:06:13 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:01:02:46:59:7f:08:00 SRC=10.1.1.100 DST=10.1.1.2 LEN=57 TOS=00 PREC=0x00 TTL=64 ID=54097 CE DF PROTO=UDP SPT=1250 DPT=53 LEN=37
2006:02:17-04:26:48 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:01:02:46:59:7f:08:00 SRC=10.1.1.100 DST=10.1.1.2 LEN=57 TOS=00 PREC=0x00 TTL=64 ID=37806 CE DF PROTO=UDP SPT=1251 DPT=53 LEN=37
2006:02:17-04:26:58 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:01:02:46:59:7f:08:00 SRC=10.1.1.100 DST=10.1.1.2 LEN=57 TOS=00 PREC=0x00 TTL=64 ID=37807 CE DF PROTO=UDP SPT=1251 DPT=53 LEN=37
2006:02:17-04:47:49 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:01:02:46:59:7f:08:00 SRC=10.1.1.100 DST=10.1.1.2 LEN=57 TOS=00 PREC=0x00 TTL=64 ID=25269 DF PROTO=UDP SPT=1252 DPT=53 LEN=37
2006:02:17-04:48:00 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:01:02:46:59:7f:08:00 SRC=10.1.1.100 DST=10.1.1.2 LEN=57 TOS=00 PREC=0x00 TTL=64 ID=25270 DF PROTO=UDP SPT=1252 DPT=53 LEN=37
2006:02:17-09:00:02 (none) ulogd[2351]: DROP: IN=eth0 OUT=eth2 MAC=00:09:5b:e1:a6:7c:00:10:60:03:2b:55:08:00 SRC=192.168.1.253 DST=66.93.87.2 LEN=60 TOS=00 PREC=0x00 TTL=127 ID=7951 PROTO=UDP SPT=1025 DPT=53 LEN=40
2006:02:17-09:30:44 (none) ulogd[2351]: DROP: IN=eth0 OUT=eth2 MAC=00:09:5b:e1:a6:7c:00:10:60:03:2b:55:08:00 SRC=192.168.1.253 DST=66.93.87.2 LEN=61 TOS=00 PREC=0x00 TTL=127 ID=32231 PROTO=UDP SPT=1025 DPT=53 LEN=41
2006:02:17-11:58:07 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:0d:56:39:be:2c:08:00 SRC=10.1.1.5 DST=10.1.1.2 LEN=70 TOS=00 PREC=0x00 TTL=128 ID=47766 CE PROTO=UDP SPT=2807 DPT=53 LEN=50
2006:02:17-11:58:07 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:0d:56:39:be:2c:08:00 SRC=10.1.1.5 DST=10.1.1.2 LEN=70 TOS=00 PREC=0x00 TTL=128 ID=47801 CE PROTO=UDP SPT=2807 DPT=53 LEN=50
2006:02:17-11:58:08 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:0d:56:39:be:2c:08:00 SRC=10.1.1.5 DST=10.1.1.2 LEN=70 TOS=00 PREC=0x00 TTL=128 ID=47814 CE PROTO=UDP SPT=2807 DPT=53 LEN=50
2006:02:17-11:58:08 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:0d:56:39:be:2c:08:00 SRC=10.1.1.5 DST=10.1.1.2 LEN=65 TOS=00 PREC=0x00 TTL=128 ID=47826 CE PROTO=UDP SPT=4338 DPT=53 LEN=45
2006:02:17-11:58:10 (none) ulogd[2351]: DROP: IN=eth1 OUT= MAC=00:01:02:24:25:73:00:0d:56:39:be:2c:08:00 SRC=10.1.1.5 DST=10.1.1.2 LEN=65 TOS=00 PREC=0x00 TTL=128 ID=47833 CE PROTO=UDP SPT=4338 DPT=53 LEN=45


This thread was automatically locked due to age.
Parents
  • 0
    1. You have the correct interfaces and networks setup in the DNS proxy settings?

    2. what resolvers do you have the DNS proxy pointed at?

    3. 10.1.1.2 and 10.1.1.100 are which computers?

    4. Are you having trouble resolving internal or external hosts, or both?

    Barry
  • 0 in reply to BarryG
    >>1. You have the correct interfaces and networks setup in the DNS proxy settings?

    Yes it looks good.  The key interface is named internal which includes my Microsoft infrastructure (the DNS server).  I've tried adding the server explicitly to the list of allowed networks but as expected this has no effect.

    2. what resolvers do you have the DNS proxy pointed at?

    The resolvers are the DNS servers supplied by my ISP (Comcast) Specifically they are as follows:  
     
    207.217.126.81
    207.217.77.82

    3. 10.1.1.2 and 10.1.1.100 are which computers?

    10.1.1.2 isi the Astaro Firewall
    10.1.1.100 is a unix box which I have since shut down for simplicity. I thought it was odd that the firewall would indicate that it was dropping UDP packets travelling within a subnet. This may be another matter.  I'm not sure.

    4. Are you having trouble resolving internal or external hosts, or both?

    I'm only having trouble with external addresses.
  • 0 in reply to SalishSwede
    So which IP is your MS DNS server? 10.1.1.5?

    Barry
  • 0 in reply to BarryG
    10.1.0.2 is the DNS server
    10.1.0.5 is a XP client
    10.1.1.2 is the firewall

    subnet is 255.255.0.0
  • 0 in reply to SalishSwede
    Here are the stats from /var/log/named.log

    Cleaned cache of 66 RRsets
    2006:02:17-15:26:50 (none) named[25060]: USAGE 1140218810 1140208010 CPU=0.290955u/0.197969s CHILDCPU=0u/0s
    2006:02:17-15:26:50 (none) named[25060]: NSTATS 1140218810 1140208010 A=668 NS=1 SOA=65 PTR=60 MX=31 TXT=41 SRV=24
    2006:02:17-15:26:50 (none) named[25060]: XSTATS 1140218810 1140208010 RR=481 RNXD=161 RFwdR=16 RDupR=0 RFail=4 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=81 SAns=876 SFwdQ=381 SDupQ=47 SErr=0 RQ=890 RIQ=0 RFwdQ=381 RDupQ=13 RTCP=6 SFwdR=16 SFail=0 SFErr=0 SNaAns=865 SNXD=244 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0

    There are no other unusual entries in this log since the similar stats from 1 hour previous.  Unfortunately I don't know how to tranlsate this off hand.  I'm looking it up now.
  • 0 in reply to SalishSwede
    I may have found the problem.
    It seems my portscan.log file is rather active.
    Upon further study it seems the DNS server is triggering lots of events that are interpreted as portscans.  I've excluded this machine from the portscan detection to see what effect this has on DNS traffic.
  • 0 in reply to SalishSwede
    It looks like this is it.
    I'll update this thread if anything changes.
    Thanks
Reply Children
No Data