Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4342 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Group not updating DNS cache

RedHorse
Hello,

I have some troubles with using DNS Group definitions in our UTM with version 9.211-3. Let me explain what happens:

I create a DNS Group definition for the Hostname example.test.local and I receive one or more IP-Addresses from our internal DNS Server and they are cached in the UTM and everything works fine. Now, when the IPs changes or the Hostname is not existing anymore in the DNS Server, the UTM still have this IP-Addresses cached for the Hostname, although I deleted the DNS Cache in the UTM.

This issue doesn’t occur when I use a DNS Host instead of a DNS Group.

Has someone an idea what goes wrong?


This thread was automatically locked due to age.
  • 0
    I haven't seen this, RedHorse.  Are you considering the TTL of the DNS entries?  What problem are you trying to solve that you have chosen the solution of DNS entries and a DNS Group in the UTM?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Are you considering the TTL of the DNS entries?


    When I try to resolve the Hostname on our internal DNS-Server I receive the correct answer. So it shouldn't be a Problem with the TTL!? In addition to that I flush the DNS cache and the cache for DNS-Hosts is flushed but not for DNS Groups.

    What problem are you trying to solve that you have chosen the solution of DNS entries and a DNS Group in the UTM?


    What do you mean? What I want is to block some clients for some services (e.g. Internet) and sometimes they have two IP-Addresses (Wifi and LAN) for one Hostname so it's easy for me to use for all definitons DNS Groups.
  • 0
    I still don't understand what's different with DNS Groups, but I think your problem is better solved differently...

    In 'Definitions & Users >> Network Definitions', create a MAC Address list for each service you want to block, say "Web" for example.  Then, you can make a firewall rule like 'LAN & WiFi -> Web Surfing -> Internet : Drop' with 'Source MAC Addresses' set to "Web" in the 'Advanced' section of the rule.  Will that do what you want?

    Cheers- Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I still don't understand what's different with DNS Groups, but I think your problem is beT ter solved differently...


    Okay, let me explain what I mean:

    Client A with Hostname client-A.test.local gets an IP by DHCP for both of its interfaces (Wifi and Cable), so there are two DNS entries in the local DNS Server:

    client-A.test.local IN A 10.10.0.5 (Cable)
    client-A.test.local IN A 10.10.0.6 (Wifi)

    Now I create a DNS Group definition for client-A.test.local and create a rule for it to block the Internet for this Host. The UTM now receives both IP-Addresses for this DNS Group definiton and both can't access the Internet.

    If I use a DNS Host instead of a DNS Group definition the UTM would just receive one IP-Address from the DNS-Server and the other could access the Internet.

    But unfortunatly the DNS Group feature is not working correctly because since one Update it is not able to update the cached IPs of this definitions.


    In 'Definitions & Users >> Network Definitions', create a MAC Address list for each service you want to block, say "Web" for example.  Then, you can make a firewall rule like 'LAN & WiFi -> Web Surfing -> Internet : Drop' with 'Source MAC Addresses' set to "Web" in the 'Advanced' section of the rule.  Will that do what you want?


    Our UTM is a central Firewall and the requests are routed to it so the UTM is not able to receive the Clients Mac-Address, or am I wrong?
  • 0 in reply to RedHorse

    Our UTM is a central Firewall and the requests are routed to it so the UTM is not able to receive the Clients Mac-Address, or am I wrong?


    do these other devices routing towards the UTM use NAT? if so, the UTM is not able to get the MAC-Addresses.
  • 0 in reply to FrankBarmentlo
    do these other devices routing towards the UTM use NAT? if so, the UTM is not able to get the MAC-Addresses.


    No, they don't use NAT, but how does the UTM receives the MAC-Address?

    In addition to that it seems to be much easier to use the way with DNS Group and it has been working for a long time.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?