Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 6655 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP notification on DC/DNS server

M.Rottler
Hey guys,

I already stated this question in the german forum, but no answer yet...

My ATP notified me yesterday in the morning with following message:

2015:05:19-07:57:04 UTM named[4492]: rpz: client 1**.1**.1.**#59998 (motiware.com): view default: rpz IP NXDOMAIN rewrite motiware.com via 32.37.26.70.109.rpz-ip.rpz 


I'm not quite sure where this error came from... The "client" is our 2nd DC and DNS server!

I couldn't find the IP 109.70.26.37 in the WebFiltering log...

Can anybody tell me what exactly could have happened here?

thanks a lot!

Max


This thread was automatically locked due to age.
Parents
  • 0
    Hey Bob,

    I can't find this IP in my webfiltering logs... DNS proxy log says around this time:

    2015:05:19-07:56:21 UTM named[4492]: rpz.zone:9: using RFC1035 TTL semantics
    2015:05:19-07:56:25 UTM named[4492]: zone rpz/IN/default: zone serial (1345588987) unchanged. zone may fail to transfer to slaves.
    2015:05:19-07:56:25 UTM named[4492]: rpz: (re)loading policy zone 'rpz' changed from 186823 to 186825 qname, 0 to 0 nsdname, 1553 to 1553 IP, 0 to 0 NSIP entries
    2015:05:19-07:56:25 UTM named[4492]: zone rpz/IN/default: loaded serial 1345588987
    2015:05:19-07:56:25 UTM named[4492]: zone 0.0.127.in-addr.arpa/IN/default: loaded serial 1432014979
    2015:05:19-07:56:39 UTM named[4492]: error (connection refused) resolving '65.5.140.140.in-addr.arpa/PTR/IN': 140.***.***.***#53
    2015:05:19-07:57:04 UTM named[4492]: rpz: client 140.***.***.***#59998 (motiware.com): view default: rpz IP NXDOMAIN rewrite motiware.com via 32.37.26.70.109.rpz-ip.rpz
    2015:05:19-07:57:08 UTM named[4492]: error (connection refused) resolving 'wpad.domain.local/A/IN': 140.***.***.***#53


    Sophos Endpoint Security didn't find any malware on the machine...
Reply
  • 0
    Hey Bob,

    I can't find this IP in my webfiltering logs... DNS proxy log says around this time:

    2015:05:19-07:56:21 UTM named[4492]: rpz.zone:9: using RFC1035 TTL semantics
    2015:05:19-07:56:25 UTM named[4492]: zone rpz/IN/default: zone serial (1345588987) unchanged. zone may fail to transfer to slaves.
    2015:05:19-07:56:25 UTM named[4492]: rpz: (re)loading policy zone 'rpz' changed from 186823 to 186825 qname, 0 to 0 nsdname, 1553 to 1553 IP, 0 to 0 NSIP entries
    2015:05:19-07:56:25 UTM named[4492]: zone rpz/IN/default: loaded serial 1345588987
    2015:05:19-07:56:25 UTM named[4492]: zone 0.0.127.in-addr.arpa/IN/default: loaded serial 1432014979
    2015:05:19-07:56:39 UTM named[4492]: error (connection refused) resolving '65.5.140.140.in-addr.arpa/PTR/IN': 140.***.***.***#53
    2015:05:19-07:57:04 UTM named[4492]: rpz: client 140.***.***.***#59998 (motiware.com): view default: rpz IP NXDOMAIN rewrite motiware.com via 32.37.26.70.109.rpz-ip.rpz
    2015:05:19-07:57:08 UTM named[4492]: error (connection refused) resolving 'wpad.domain.local/A/IN': 140.***.***.***#53


    Sophos Endpoint Security didn't find any malware on the machine...
Children
No Data