Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 4964 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Incoming packet through Port 53 blocked

eclipse79oldacct
Hello
I'm reading packetfilter.log file and I have seen entries like this:

2009:11:10-03:16:13 MYFIREWALLNAME ulogd[3247]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="eth1" outitf="eth1" dstmac="xx:xx:xx:xx:xx:xx" srcmac="00:00:00:00:00:00" srcip="DNS SERVER IP ADDRESS" dstip="WAN IP ADDRESS" proto="17" length="67" tos="0x00" prec="0x00" ttl="57" srcport="53" dstport="3107" 

I don't know how exactly DNS server works, in my lan we use DNS specified in srcip value and all seems to work fine. In your opinion, should I enable packets directed to port 53 to be accepted to my WAN address?

Thank you
Eclipse79


This thread was automatically locked due to age.
Parents
  • 0
    Thanks, gudlife, that was an excellent explanation!

    Last week, I was thinking about having the ISP's name servers listed in the PDC/BDC forwarders as a backup.  I decided to not open port 53 for them because those entries would not come into play unless the Astaro was down and some temporary alternative had to be put in place.  What are your thoughts on that?  Is there a scenario I'm not considering?

    Cheers - Bob
Reply
  • 0
    Thanks, gudlife, that was an excellent explanation!

    Last week, I was thinking about having the ISP's name servers listed in the PDC/BDC forwarders as a backup.  I decided to not open port 53 for them because those entries would not come into play unless the Astaro was down and some temporary alternative had to be put in place.  What are your thoughts on that?  Is there a scenario I'm not considering?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    I have considered that myself and I have implemented it that very way as well.

    I suppose it doesn't really make much sense to go around the gateway, as if it were to fail then you would be offline anyway.  

    I have yet to encounter a place willing to pay for real internet redundancy...ie an HA cluster and dual redundant WAN uplinks from different providers.

    One of the reasons I am really loving Astaro is its flexibility...even with a gateway device hardware failure...restore the backup to a VM or as a dedicated machine appliance and you can be bubble gummed back online in a very short time.

    The only other consideration might be administrative...the gateway's dns cache in addition to that on the local servers can make DNS resolution troubleshooting fun(especially when they all have different values cached up during a propagation of a name change).  But once you have a handle on the resolution flow its simple enough to nslookup against the various network components and flush caches as you go until everybody is on the same page.