Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2038 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rcode Refused Stumped......

scottj_01
All-

I continue to receive rcode refused entries in the DNS proxy log. This has been going on since the upgrage to UTM 9. Changing the MTU, DNS forwarders, using the ISP DNS did not solve the issue. Review of the log shows this going on in the middle of the night when nothing is active. I have gone as far as to remove everything from the network leaving only the ASG connected and still receive the same messages. Ocasionally the log will be empty, but not very often. The enclosed log shows addresses from China which I have blocked. More commonly I see IP's from google. The question now becomes is this a DNS bind problem, and how do I correct it?[:S] I use POP3 email however I do not use any of the proxies. Researching this on the internet indicates a DNS bind problem. While it appears to very common from a research perspective, it may not be with ASG. Otherwise there would be more postings. One othe note, I am using DNS best practice in my configuration. I am grateful for any help provided.


Kind Regards,
Jim





2012:08:18-01:32:07 OASIS named[4114]: unexpected RCODE (REFUSED) resolving '246.210.192.120.in-addr.arpa/PTR/IN': 211.136.17.105#53
2012:08:18-01:32:09 OASIS named[4114]: unexpected RCODE (REFUSED) resolving '246.210.192.120.in-addr.arpa/PTR/IN': 211.136.20.201#53
2012:08:18-01:47:16 OASIS named[4114]: unexpected RCODE (REFUSED) resolving '246.210.192.120.in-addr.arpa/PTR/IN': 211.136.20.201#53
2012:08:18-01:47:17 OASIS named[4114]: unexpected RCODE (REFUSED) resolving '246.210.192.120.in-addr.arpa/PTR/IN': 211.136.17.105#53
2012:08:18-02:02:10 OASIS named[4114]: unexpected RCODE (REFUSED) resolving '62.210.206.120.in-addr.arpa/PTR/IN': 211.136.20.201#53


This thread was automatically locked due to age.
Parents
  • 0
    I get those occasionally.  Usually, it's an rDNS query that failed.  I tried your IPs above:
    C:\Users\balfson>nslookup - 211.136.17.105
    Default Server:  ns.cnmobile.net
    Address:  211.136.17.105

    > 246.210.192.120.in-addr.arpa
    Server:  ns.cnmobile.net
    Address:  211.136.17.105

    *** ns.cnmobile.net can't find 246.210.192.120.in-addr.arpa: Query refused
    > 246.210.192.120.in-addr.arpa
    Server:  ns.cnmobile.net
    Address:  211.136.17.105

    *** ns.cnmobile.net can't find 246.210.192.120.in-addr.arpa: Query refused


    Cheers - Bob
Reply
  • 0
    I get those occasionally.  Usually, it's an rDNS query that failed.  I tried your IPs above:
    C:\Users\balfson>nslookup - 211.136.17.105
    Default Server:  ns.cnmobile.net
    Address:  211.136.17.105

    > 246.210.192.120.in-addr.arpa
    Server:  ns.cnmobile.net
    Address:  211.136.17.105

    *** ns.cnmobile.net can't find 246.210.192.120.in-addr.arpa: Query refused
    > 246.210.192.120.in-addr.arpa
    Server:  ns.cnmobile.net
    Address:  211.136.17.105

    *** ns.cnmobile.net can't find 246.210.192.120.in-addr.arpa: Query refused


    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob,

    Thanks for responding. Why is the ASG conecting to the servers noted to begin with? Is this related to content filtering? I ask because the ASG can be disconnected from the LAN at eth1 and still have the same log entries. Also is the rcode refused due to verbose logging which did not exist in ASG 8.102 although the same events occured? So if I correctly understand the ASG is indicating a remote DNS issue most like having nothing to do with the local network DNS configuration, is this correct?

    Thanks,
    Jim