This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]DNS best practice?

There are two ways to configure DNS:

One way:
- Allowing DNS outgoing for your internal nameservers
- internal nameservers forwarding to ISP-DNS
- ASG pointing to internal nameservers 

Another way:
- ASG forwarding to ISP-nameservers
- "request routing" on ASG for internal domain pointing to internal nameservers
- internal nameservers forwarding to ASG
 
Which way do you use? And why? Which is "officially preferred"?
Both configurations seem working good for me, we run the first alternative on our cluster, the second in branch offices without internal dns (domain dns reachable via site2site-vpn).

Thanks for your ideas!
Thomas



BAlfson's DNS Best Practice's post has been moved to it's own highlighted thread here: https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice
[edited by: FloSupport at 11:12 AM (GMT -7) on 18 Sep 2020]
Parents
  • Hi,

    I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?

    The reason to use Astaro's DNS resolver is that it should be more secure than your internal DNS server (especially if you don't patch the server regularly).

    The simplest change would be for you to point your DC to Astaro for Internet DNS, and add your Internal Networks and DMZs to the 'Allowed Networks' in Astaro's DNS settings.

    You might find OpenDNS or GoogleDNS are faster than your ISP, btw.

    "in the forwarders list on ASG there is the internal DNS, google, and the checkbox "use forwarders assigned by ISP" is selected"

    The checkbox overrides the list, fyi.

    Barry
Reply
  • Hi,

    I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?

    The reason to use Astaro's DNS resolver is that it should be more secure than your internal DNS server (especially if you don't patch the server regularly).

    The simplest change would be for you to point your DC to Astaro for Internet DNS, and add your Internal Networks and DMZs to the 'Allowed Networks' in Astaro's DNS settings.

    You might find OpenDNS or GoogleDNS are faster than your ISP, btw.

    "in the forwarders list on ASG there is the internal DNS, google, and the checkbox "use forwarders assigned by ISP" is selected"

    The checkbox overrides the list, fyi.

    Barry
Children
  • Hi,

    I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?



    I don't understand it either. As I said I am in the process of re-examining all the settings. Thanks for the explanation. It is all summing up now in my head