DOMAIN (udp/53)

Add the networks to the allowed list on the DNS configure page? Adding subnets there will create hidden allow rules in the firewall.

Link local address uses the fe80:: range if I recall.

I looked back over the last 30 days and interestingly noticed that the traffic is from both ipv4 and ipv6 link-local addresses, as well as ipv4 and ipv6 internal addresses. There was only one blocked packet from an address outside the internal network out of almost 100k packets. I also found the source of the ipv6 link-local packets. They are android phones. Not sure about the ipv4 link local addresses (169.254/16).

I created a network called link-local with 169.254/16 and fe80::/64, and added it to the DNS. Since I added it, there have been a couple of blocked packets, so perhaps that's not the answer. I'll run it overnight and see what happens. Maybe I have to add the link-local network as a source to the firewall rule that passes the port 53 traffic.

I'm happy to say that adding the ipv4 and ipv6 link-local address ranges to the list of allowed dns networks seems to have cured the problem with the blocked dns packets. Thanks for the help.

I'm happy to say that adding the ipv4 and ipv6 link-local address ranges to the list of allowed dns networks seems to have cured the problem with the blocked dns packets. Thanks for the help.