DOMAIN (udp/53)

Hi, are you running IPv6 on the UTM and your networks?

If you're not, ignore them or setup a rule to drop them without logging.

Barry

I'm following up on this. I'm seeing DOMAIN (udp/53) traffic from several of the computers on my internal network directed toward utm, mostly on ipv6, but also some on ipv4. I'd like to make a rule to allow this traffic. Should I explicitly identify the ipv4 and ipv6 address of utm as the destination? Should I use the internal network as the source? Thanks.

I created a rule, internal network > DNS > Internal Address. It doesn't seem to be doing anything. The addresses are all link local ipv6 and ipv4 to utm. How do I allow this traffic?

Add the networks to the allowed list on the DNS configure page? Adding subnets there will create hidden allow rules in the firewall.

Link local address uses the fe80:: range if I recall.

I looked back over the last 30 days and interestingly noticed that the traffic is from both ipv4 and ipv6 link-local addresses, as well as ipv4 and ipv6 internal addresses. There was only one blocked packet from an address outside the internal network out of almost 100k packets. I also found the source of the ipv6 link-local packets. They are android phones. Not sure about the ipv4 link local addresses (169.254/16).

I created a network called link-local with 169.254/16 and fe80::/64, and added it to the DNS. Since I added it, there have been a couple of blocked packets, so perhaps that's not the answer. I'll run it overnight and see what happens. Maybe I have to add the link-local network as a source to the firewall rule that passes the port 53 traffic.

I'm happy to say that adding the ipv4 and ipv6 link-local address ranges to the list of allowed dns networks seems to have cured the problem with the blocked dns packets. Thanks for the help.