Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 2 subscribers
  • Views 38684 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dns

profesor
HI!
for external DNS server (OPENDNS, ISP DNS, etc)  corect setup:
external WAN or ANY* ??


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to eclipse79oldacct
    The "ANY" setting is discussed here at https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44786 in a little more detail and has a link to vote for a feature request at the bottom of the page if you want to be reminded not to use other settings besides "ANY".

    Only concern that I have with "ANY" setting is the IP spoofing vulnerability if astaro doesn't know which interface to expect a certain packet from. For example my LAN packets should never be coming in from the internet but with "ANY" interface, how does astaro know the difference between LAN and the internet specially if I don't have private IP ranges for LAN.

    On a side note, I changed my settings to "ANY" the other day and the browsing seems a little snappier with proxy/content filter enabled.
  • 0 in reply to Billybob
    Since the original thread is about DNS, I am going to add a screenshot of the grc DNS benchmark tool. If you have DNS problems or just setting up your DNS for the first time and don't know which server to use, this will give you the right answer every time[;)] 

    Written in assembly language, makes it small and efficient all I have to say is wow[:O]
  • 0 in reply to Billybob
    Since the original thread is about DNS, I am going to add a screenshot of the grc DNS benchmark tool. If you have DNS problems or just setting up your DNS for the first time and don't know which server to use, this will give you the right answer every time[;)] 

    Written in assembly language, makes it small and efficient all I have to say is wow[:O]


    Bill, could you please post the two first entries of tabular data? Just for a comparison. My results are these:


     213.215.129.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
      ----------------+-------+-------+-------+-------+-------+
      - Cached Name   | 0,003 | 0,037 | 0,186 | 0,057 | 100,0 |
      - Uncached Name | 0,031 | 0,166 | 0,401 | 0,111 | 100,0 |
      - DotCom Lookup | 0,021 | 0,065 | 0,291 | 0,065 | 100,0 |
      ----------------+-------+-------+-------+-------+-------+
                        ns-rm.it.colt.net
               Colt Rome Service Internal Network


        8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
      ----------------+-------+-------+-------+-------+-------+
      + Cached Name   | 0,022 | 0,052 | 0,179 | 0,051 | 100,0 |
      + Uncached Name | 0,029 | 0,159 | 0,436 | 0,108 | 100,0 |
      + DotCom Lookup | 0,032 | 0,087 | 0,254 | 0,058 | 100,0 |
      ----------------+-------+-------+-------+-------+-------+
                 google-public-dns-a.google.com

    In my case the primary ISP dns server is the fastest (perhaps because I have a optic fiber connection and the DNS is in my same town...

    PS. I have run the test connecting a laptop at WAN cable (just to avoid that ASG could interfere)
  • 0 in reply to eclipse79oldacct
    This is from my home network on dsl so my latency is not the best. My ISP is also the fastest for cached lookups because its on the same network but its not the fastest for uncached. Not all small ISPs are reliable all the time so I don't like using them. I looked at what was fastest and then averaged cached and uncached and chose ultra dns and open dns. 

    My ISP
      209.142.136.220 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
      ----------------+-------+-------+-------+-------+-------+
      - Cached Name   | 0.019 | 0.020 | 0.021 | 0.000 | 100.0 |
      - Uncached Name | 0.034 | 0.086 | 0.392 | 0.071 | 100.0 |
      - DotCom Lookup | 0.059 | 0.083 | 0.169 | 0.031 | 100.0 |
      ----------------+-------+-------+-------+-------+-------+
                 dnsc2-mx.la.centurylink.net

    OPEN DNS:
      208. 67.222.220 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
      ----------------+-------+-------+-------+-------+-------+
      - Cached Name   | 0.031 | 0.032 | 0.033 | 0.000 | 100.0 |
      - Uncached Name | 0.033 | 0.095 | 0.494 | 0.080 | 100.0 |
      - DotCom Lookup | 0.062 | 0.124 | 0.202 | 0.051 | 100.0 |
      ----------------+-------+-------+-------+-------+-------+
                      resolver3.opendns.com

    ULTRA DNS

      156.154. 71.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
      ----------------+-------+-------+-------+-------+-------+
      - Cached Name   | 0.032 | 0.033 | 0.034 | 0.000 | 100.0 |
      - Uncached Name | 0.033 | 0.079 | 0.258 | 0.053 | 100.0 |
      - DotCom Lookup | 0.064 | 0.068 | 0.071 | 0.002 | 100.0 |
      ----------------+-------+-------+-------+-------+-------+
                       rdns2.ultradns.net
                             NEUSTAR

    Hope this helps
    Best Regards 
    Bill
  • 0 in reply to Billybob
    Is the problem 
     bound to any/external/internal  
    solved in final 8.100??
  • 0 in reply to profesor
    Is the problem 
     bound to any/external/internal  
    solved in final 8.100??


    Here you can find the answer: Warn about binding network deinition to a specific interface

    Please, read Angelo Comazzetto comment.

    bye
    eclipse79
  • 0 in reply to profesor
    Binding network definition to interface??? 

    8.100
    Up2Date 8.100 package description:

    News:
     Added: Support for Astaro Wireless Access Points
     Added: Transparent/Split mode for RED
     Added: Deployment helper for RED
     Added: Mixable multipath/failover mode for Uplink Balancing
     Added: Sortable object lists
     Added: Mass actions on object lists
     Added: German and Japanese Manual
     Added: German and Japanese Online-Help
     Changed: Any valid subscription allows to use DNS routing
     Fixed: Web Application Security subscription allows HA

    Bugfixes:
     Fix [14681]: HTTP proxy restarts if country-based blocking is enabled
     Fix [14758]: URLs in CSS definitions do not get signed for URL hardening
     Fix [14799]: Scheduled Up2Dates do not work
     Fix [15305]: Too long signing keys cause invalid WAS configuration
     Fix [15369]: RED-Traffic (TCP/UDP-Port 3400) will be dropped by AFC as Skype
     Fix [15385]: HA not available with single subscription WAS
     Fix [15403]: confidentiality footer is appended to incoming mail
     Fix [15555]: RED: UDP flood protection blocks RED traffic
     Fix [15948]: After activation of a packetfilter rule with authentication header (AH) service the ASG will crash
  • 0 in reply to eclipse79oldacct
    There are times that binding a definition to an interface makes sense, or even solves a problem; however for stuff like DNS forwarders, and internal Hosts, etc. I recommend you set the binding to "Any".  In certain SNAT configurations, etc. I've solved problems by applying a binding to a definition... but I rarely, rarely use that.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Unfiltered HTML