Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1932 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Issue

stella_01
Hello,

I am having a DNS issue.  I cannot successfully ping www.novell.com for example but I can ping 130.57.4.27 (their IP address) from my workstation.  I also can't send or receive mail from my mail client if I don't have an entry in my workstations hosts file for my ISP's pop and smtp servers.  If I look at my workstation's nic it is set to use DHCP and it has the correct DNS servers listed for my ISP.  

I have two packet filter rules => 1.) Internal_Network_    POP3    Any    Allow    2.)Internal_Network_    SMTP    Any    Allow

I guess I have a few questions:  Do I need to put my ISP's domain servers in both ASL's DHCP server settings and in its DNS proxy settings?  Do I need packet filtering rules to allow DNS traffic even if I am using the DNS proxy?  Finally, I'm I correct in thinking that the POP and SMTP proxies are only to be used on networks that have their own mail server set up and not for a single mail client to check mail at an ISP?

I've tried many different scenarios and nothing has yet worked so if anyone has some suggestions they would be greatly appreciated.

Thank you.
  


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]

    I guess I have a few questions:  Do I need to put my ISP's domain servers in both ASL's DHCP server settings and in its DNS proxy settings?  

    [/ QUOTE ] Yes, you do.


    [ QUOTE ]
    Do I need packet filtering rules to allow DNS traffic even if I am using the DNS proxy?

    [/ QUOTE ] Yes, you do.


    [ QUOTE ]
     Finally, I'm I correct in thinking that the POP and SMTP proxies are only to be used on networks that have their own mail server set up and not for a single mail client to check mail at an ISP?  

    [/ QUOTE ] No, you can still use them with just a workstation client.

    Under Proxies --> SMTP --> Outgoing Mail --> Use smarthost: Enable, put  the name or IP address of your ISP's outgoing mail server. Set Allowed networks to be just the Internal network (no Any). Then you can use the ASL box as your outbound mail  server.
  • 0 in reply to VelvetFog
    Thank you VF.  I see that you are an active participant in these forums and I find your posts most informative.  I do not have access to my ASL box but I will try to create my DNS rules when I get home.  I imagine I will need to define a new service that uses udp and port 53.  I will allow udp out if the destination port is port 53 and the source port is from a range of 1024-65535 and I will allow the reply from source port 53 and a destination port of 1024:65535.  Does that sound like it should work?  Thanks again.
       
  • 0 in reply to stella_01
    The DNS service is predefined, but you need not apply it as a seperate filter rule entry. A general rule for outbound traffic:

    Internal_Network Any Any Allow

    takes care of your DNS traffic.

    Brent  Gay is correct in suggesting that you use your Internal IP address as your primary DNS server address to be passed out by your DHCP server, once the DNS is properly configured to forward to your ISP's DNS servers. You then get local DNS caching on the ASL box, and it is no longer an issue to have an open port for DNS traffic.  
  • 0 in reply to VelvetFog
    That works great!  Thank you Brent & VF!  
  • 0 in reply to VelvetFog
    Does the rule below work because ASL is doing a stateful packet inspection?

    [ QUOTE ]
     A general rule for outbound traffic:

    Internal_Network Any Any Allow

    takes care of your DNS traffic.

    [/ QUOTE ]  
Reply Children
  • 0 in reply to stella_01
    Well, the phrase "stateful packet inspection" sometimes means different things to different people, but yes. Every device employing NAT (Network Address Translation) technology, from complex firewalls such as Astaro, down to the little 4-port routers that they sell everywhere these days, has to be stateful, since a NAT has to track where the outgoing packets are coming from and going to, so that it can allow the replies back in and send them to the correct machine on the private LAN.

    The rule:  Internal_Network Any Any Allow  simply allows all the traffic from your private LAN (including DNS) to get out to the Internet. This is a suitable rule to use for small business and home use firewalls. Large corporations tend to implement a much more restrictive policy as to what types of traffic they allow out through their firewall routers to the Internet.

    Any NAT device provides by virtue of how NAT functions, a good measure of inherent security. You may think of a NAT router as a one way mirror, you can see out, but the world can not see in.