Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1318 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS listening where it shouldn't?

Jack Daniel
Hi folks, been a while...

I'm probably missing something obvious, but my UTM9 (9.002) has DNS open on the WAN interface, and it is not configured to do so.  No NAT rules are active which should come into play.

netstat shows named is listening on interfaces where I don't want or expect it to listen (interfaces not listed in DNS Allowed Networks), including the WAN interface- and it is responding to external DNS queries. Listening on both TCP and UDP, too. 

Any thoughts?

Thanks
Jack


This thread was automatically locked due to age.
Parents
  • 0
    Looks like you figured it out jack.  Telnet to port 53 failing.  [:)]
  • 0 in reply to Scott_Klassen
    (delayed response due to travel)

    The problem still exists. I've updated to the latest, and after rebooting netstat still shows named listening on the external IF on 53 TCP and UDP.  I am still able to perform DNS queries against it remotely.

    I did realize one of the stray interfaces was a just VPN pool, but that's automagically added when SSL VPN is enabled- and that makes sense. What doesn't make sense is what's enabling named on the WAN interface.  No RED is connected (but one is configured), disabling all remote access (including HTML5 via portal) only removes the VPN IF, not the WAN IF.  Disabling the WAF doesn't make a different, either.

    netstat screenshot provided for entertainment and possible enlightenment.

    Odd...
Reply
  • 0 in reply to Scott_Klassen
    (delayed response due to travel)

    The problem still exists. I've updated to the latest, and after rebooting netstat still shows named listening on the external IF on 53 TCP and UDP.  I am still able to perform DNS queries against it remotely.

    I did realize one of the stray interfaces was a just VPN pool, but that's automagically added when SSL VPN is enabled- and that makes sense. What doesn't make sense is what's enabling named on the WAN interface.  No RED is connected (but one is configured), disabling all remote access (including HTML5 via portal) only removes the VPN IF, not the WAN IF.  Disabling the WAF doesn't make a different, either.

    netstat screenshot provided for entertainment and possible enlightenment.

    Odd...
Children
No Data