Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3754 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public DNS server behine UTM9

IanCollins
Hi,

I have a secondary DNS server behine UTM9.

I have an additional IP address added to the public interface
I have a SNAT rule for any - dns - public IP to internal DNS server IP
I have a DNAT rule Internal DNS IP - DNS - Any to public IP of DNS server
I have FW rule any - DNS - internal DNS IP

The server responds internally to UDP and TCP
Externally it only responds on TCP

I dont see any dropped packets and the NAT rlle that is set to log initial packets does not log anything for UDP, only TCP.

What am i missing?  Can anyone suggest what i have done wrong?

Thanks

Ian...


This thread was automatically locked due to age.
  • 0
    Hi, Ian, and welcome to the User BB!

    Please click on [Go Advanced] below and attach pictures of your two NAT rules open in Edit.

    Cheers - Bob
  • 0
    Hi,

    Attached are the 3 nat rules (I actually changed them so I had a udp and a tcp rule.

    Also is the page for the additional IP that was added to the public interface of the firewall.

    Thanks

    Ian...

    Natrule1.PNG

    Natrule2.PNG

    Natrule3.PNG

    AddIP.PNG
  • 0
    Could you also post screenshots of your Service Objekts?
  • 0
    Hi,

    Attached are the 3 DNS services (the TCP and UDP that I created and the combined standard service) and the 2 inbound FW rules.

    I created a UDP and TCP rule separately to test.

    TCP works but UDP doesn't.

    Thanks
    Ian...

    FW1.PNG

    FW2.PNG

    DNS1.PNG

    dns2.PNG

    dns3.PNG
  • 0
    Thanks for adding all those pics.

    See #5 in Rulz.  Also, since the Firewall log file includes the protocol information, there's no additional information gained by separating TCP and UDP for DNS.  You can avoid creating extra firewall rules by selecting 'Automatic Firewall rule' and then go to the 'Rules' tab in Firewall where you can select 'Log traffic' for the automatic rules during the debugging phase.

    You said, "Externally it only responds on TCP" - what did you experience, other than the lack of UDP traffic in the Firewall log,  that led you to that conclusion?

    Cheers - Bob
  • 0
    Hi,

    In the logs I only see the TCP connection.

    If I use a DNS test tool, I get a report that the UDP connection failed and the TCP was successful.

    If I use DNS tools that use UDP, they fail to connect and I  don't see any traffic on the firewall logs for the UDP traffic but I do for the TCP traffic.

    Ian...
  • 0
    If I use DNS tools that use UDP, they fail to connect and I don't see any traffic on the firewall logs for the UDP traffic but I do for the TCP traffic.

    What happens if you try a packet capture while trying the UDP test? (Assuming that your External interface is on eth1)

    tcpdump -n -i eth1 port 53 and udp


    If you don't see anything, then the traffic is not reaching you.

    Cheers - Bob