DOMAIN (udp/53)

Add the networks to the allowed list on the DNS configure page? Adding subnets there will create hidden allow rules in the firewall.

Link local address uses the fe80:: range if I recall.

I looked back over the last 30 days and interestingly noticed that the traffic is from both ipv4 and ipv6 link-local addresses, as well as ipv4 and ipv6 internal addresses. There was only one blocked packet from an address outside the internal network out of almost 100k packets. I also found the source of the ipv6 link-local packets. They are android phones. Not sure about the ipv4 link local addresses (169.254/16).

I created a network called link-local with 169.254/16 and fe80::/64, and added it to the DNS. Since I added it, there have been a couple of blocked packets, so perhaps that's not the answer. I'll run it overnight and see what happens. Maybe I have to add the link-local network as a source to the firewall rule that passes the port 53 traffic.

I looked back over the last 30 days and interestingly noticed that the traffic is from both ipv4 and ipv6 link-local addresses, as well as ipv4 and ipv6 internal addresses. There was only one blocked packet from an address outside the internal network out of almost 100k packets. I also found the source of the ipv6 link-local packets. They are android phones. Not sure about the ipv4 link local addresses (169.254/16).

I created a network called link-local with 169.254/16 and fe80::/64, and added it to the DNS. Since I added it, there have been a couple of blocked packets, so perhaps that's not the answer. I'll run it overnight and see what happens. Maybe I have to add the link-local network as a source to the firewall rule that passes the port 53 traffic.

I'm happy to say that adding the ipv4 and ipv6 link-local address ranges to the list of allowed dns networks seems to have cured the problem with the blocked dns packets. Thanks for the help.