Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 10272 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking DNS access to root servers

SalishSwede
I notice in my logs the following:

[FONT=monospace]/var/log/packetfilter/2012/03/packetfilter-2012-03-13.log.gz:2012:03:13-19:03:02  wahine ulogd[6021]: id="2001" severity="info" sys="SecureNet"  sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003"  outitf="eth1" srcmac="0:c:29:67:ac:8e" srcip="174.x.y.z"  dstip="128.8.10.90" proto="17" length="76" tos="0x00" prec="0x00"  ttl="64" srcport="1901" dstport="53"  [/FONT]

Looking at the dstip, I see the following:

Address lookup

     canonical name  d.root-servers.net.    aliases 
    addresses   2001:500:2d:[:D]
128.8.10.90It looks like this the device blocking access to DNS root servers.
Is that a good thing?
I don't have DNS specific rules in my firewall (save one machine which is off).
In Network Services \ DNS I list Google's DNS servers.  [feel free to comment]

Just checking.


This thread was automatically locked due to age.
  • 0
    I don't think the DNS requests by the firewall itself are logged in packet filter log and any other request will need a packet filter rule. Which interface does the  174.x.x.x IP belong to?
  • 0
    Doug, try DNS Best Practice.

    That is strange, isn't it, Bill.  It looks like it's a DNS request by the Astaro as the packet is dropped out of the OUTPUT chain (rule="60003").  I think I'll learn something in this thread!

    Cheers - Bob
  • 0 in reply to BAlfson
    The packet in question is indeed coming from the Astaro device itself, not from an internal DNS server.  I use Astaro as the internal DNS server.  Therefore, in order to eliminate this sort of blockage, I would have to create a rule allowing DNS traffic from the ASG device which seems a bit curious.
  • 0
    That was why I suggested the Best Practices link - that block shouldn't occur, and the only thing I can imagine is that there's a configuration error.  You also might look in the DNS log.

    Cheers - Bob
  • 0 in reply to BAlfson
    It's not clear to me what configuration I could do that would trigger [FONT=monospace]fwrule="60003".

    As for best practices, I use the 2nd option, using Astaro as the official internal DNS source.  Occassionally I fire up a Win Server box for testing which has it's own DNS server but that's not relevant here.

    I may setup the request routing if I elect to use an internal DNS server.  At present I define internally routed information as static entries in the DNS settings on the ASG which then routes internal queries just fine.  This is a home config so the number of machines is limited so this is manageable. 
    [/FONT]
  • 0
    I guess I don't understand why the Astaro would ask a root server for name resolution if DNS is configured correctly.

    Cheers - Bob
  • 0 in reply to BAlfson
    If Astaro is functioning as the source of DNS information, it has a DNS server turned on.  DNS servers query root servers as a standard function.  At least that was my assumption if it doesn't get an acceptable response from the assigned forwarders.
  • 0 in reply to BAlfson
    I guess I don't understand why the Astaro would ask a root server for name resolution if DNS is configured correctly.

    The way they have bind configured, it has a switch to query forwarders first which makes astaro query root servers if the forwarders fail for any reason including connectivity. 
    What is fascinating is the log entry for the interface.

    @Dougga which interface is that exactly? Not an additional IP or anything of that sort is it?

    Regards
    Bill
    Edit:
    Why am I telling you about your systems.  This is very strange.

    Bob doesn't work for astaro and is a free helper so don't flame the messenger please.
  • 0 in reply to Billybob
    My misunderstanding, I thought he was internal.  Apologies, Bob.

    Nothing special with this interface: eth1.
    Standard DHCP to Comcast internet.
  • 0
    See, Doug, I didn't even realize that you were frustrated - I'm a rose-colored-glasses kind of guy! [;)]

    I normally use OpenDNS, and don't think I've gotten a root name server anywhere since I started using 208.67.222.222 and 208.67.220.220.  You might see if that works better.  I also usually uncheck the box for the ISP's name servers.

    It is a bit of a mystery why the standard "invisible" Firewall rule for DNS seems to have been disabled.  It would be interesting if you could find when the default drops started, and then restore a backup from before that to see if the problem persists.

    Cheers - Bob