Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 10261 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking DNS access to root servers

SalishSwede
I notice in my logs the following:

[FONT=monospace]/var/log/packetfilter/2012/03/packetfilter-2012-03-13.log.gz:2012:03:13-19:03:02  wahine ulogd[6021]: id="2001" severity="info" sys="SecureNet"  sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003"  outitf="eth1" srcmac="0:c:29:67:ac:8e" srcip="174.x.y.z"  dstip="128.8.10.90" proto="17" length="76" tos="0x00" prec="0x00"  ttl="64" srcport="1901" dstport="53"  [/FONT]

Looking at the dstip, I see the following:

Address lookup

     canonical name  d.root-servers.net.    aliases 
    addresses   2001:500:2d:[:D]
128.8.10.90It looks like this the device blocking access to DNS root servers.
Is that a good thing?
I don't have DNS specific rules in my firewall (save one machine which is off).
In Network Services \ DNS I list Google's DNS servers.  [feel free to comment]

Just checking.


This thread was automatically locked due to age.
Parents
  • 0
    That was why I suggested the Best Practices link - that block shouldn't occur, and the only thing I can imagine is that there's a configuration error.  You also might look in the DNS log.

    Cheers - Bob
  • 0 in reply to BAlfson
    It's not clear to me what configuration I could do that would trigger [FONT=monospace]fwrule="60003".

    As for best practices, I use the 2nd option, using Astaro as the official internal DNS source.  Occassionally I fire up a Win Server box for testing which has it's own DNS server but that's not relevant here.

    I may setup the request routing if I elect to use an internal DNS server.  At present I define internally routed information as static entries in the DNS settings on the ASG which then routes internal queries just fine.  This is a home config so the number of machines is limited so this is manageable. 
    [/FONT]
Reply
  • 0 in reply to BAlfson
    It's not clear to me what configuration I could do that would trigger [FONT=monospace]fwrule="60003".

    As for best practices, I use the 2nd option, using Astaro as the official internal DNS source.  Occassionally I fire up a Win Server box for testing which has it's own DNS server but that's not relevant here.

    I may setup the request routing if I elect to use an internal DNS server.  At present I define internally routed information as static entries in the DNS settings on the ASG which then routes internal queries just fine.  This is a home config so the number of machines is limited so this is manageable. 
    [/FONT]
Children
No Data