Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 6654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP notification on DC/DNS server

M.Rottler
Hey guys,

I already stated this question in the german forum, but no answer yet...

My ATP notified me yesterday in the morning with following message:

2015:05:19-07:57:04 UTM named[4492]: rpz: client 1**.1**.1.**#59998 (motiware.com): view default: rpz IP NXDOMAIN rewrite motiware.com via 32.37.26.70.109.rpz-ip.rpz 


I'm not quite sure where this error came from... The "client" is our 2nd DC and DNS server!

I couldn't find the IP 109.70.26.37 in the WebFiltering log...

Can anybody tell me what exactly could have happened here?

thanks a lot!

Max


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    This is pretty common if you have users in your network that have visited websites and some pop-up showed up. This is pretty standard for some people that like to visit shady sites (of course sometimes it pops out on normal ones as well).

    In essence, your DNS server will get marked because the client requested the URL from the DNS and the DNS server queried for that web site which at the end would have triggered the ATP engine to block the traffic.

    So there are two ways of figuring out the client of that request, either by redirecting the DNS from the clients to the UTM directly (and avoid NAT as well to the DNS service) or reconfigure the DNS server for logging of the requests. Wait for the same issue to occur and you will have the trace of the error. Right now it would be like looking for a needle in a haystack... [:)]

    Cheers,

    P.
Reply
  • 0
    Hi,

    This is pretty common if you have users in your network that have visited websites and some pop-up showed up. This is pretty standard for some people that like to visit shady sites (of course sometimes it pops out on normal ones as well).

    In essence, your DNS server will get marked because the client requested the URL from the DNS and the DNS server queried for that web site which at the end would have triggered the ATP engine to block the traffic.

    So there are two ways of figuring out the client of that request, either by redirecting the DNS from the clients to the UTM directly (and avoid NAT as well to the DNS service) or reconfigure the DNS server for logging of the requests. Wait for the same issue to occur and you will have the trace of the error. Right now it would be like looking for a needle in a haystack... [:)]

    Cheers,

    P.
Children
No Data