This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Incoming packet through Port 53 blocked

Hello
I'm reading packetfilter.log file and I have seen entries like this:

2009:11:10-03:16:13 MYFIREWALLNAME ulogd[3247]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="eth1" outitf="eth1" dstmac="xx:xx:xx:xx:xx:xx" srcmac="00:00:00:00:00:00" srcip="DNS SERVER IP ADDRESS" dstip="WAN IP ADDRESS" proto="17" length="67" tos="0x00" prec="0x00" ttl="57" srcport="53" dstport="3107" 

I don't know how exactly DNS server works, in my lan we use DNS specified in srcip value and all seems to work fine. In your opinion, should I enable packets directed to port 53 to be accepted to my WAN address?

Thank you
Eclipse79


This thread was automatically locked due to age.
  • Hi,
    there are two ways to handle this, maybe 3.

    1/. if you want to use your own DNS, then you need to add a packet filter rule internal dns server -> port 53 -> any -> allow
    2/. point your internal server at the ASG internal address and configure the ASG to use the ISP DNS and be a forwarder.
    3/. there is a method, but I am not sure how to explain it, but it involves the ASG and your internal DNS.

    Ian M

    XG115W - v20.0.3 MR-3 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • You don't need to activate the Astaro DNS Proxy if you open port 53, and you don't need to open port 53 if you enable the proxy.

    Ian, are you thinking of DNS Best Practice?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,
    I am not sure about DNS best practice, my DNS attempts at work usually get jumped on by the wizkids, though mine work and theirs cause me huge amounts of grief.

    I was offering some alternatives, but I forgot the simple one you offered.

    ian M

    XG115W - v20.0.3 MR-3 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • Thanks, Ian, but it's not really mine - I stole the ideas from others here and in the office.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • A lot of this plays into how you have your network setup and what you are doing behind your firewall.

    Unless you are hosting a public nameserver yourself, no need to allow inbound on 53.  I find that most businesses that are hosting services behind their firewall either don't or don't need to run a public nameserver.  Most use the nameservers provided by their domain registrars.  Since it is such a critical service that is probably the way to go...they resolve faster hosted on a backbone server somewhere anyways.

    In a typical config, I have the internal servers with DNS enabled and they sync amongst themselves and assign themselves as DNS1 (PDC) and DNS2 (BDC) on the network clients (this takes care of all of your internal ".local" resolution issues.  Then each of the DNS servers has a forwarder that points to the gateway.  The gateway itself is configured to use the ISP forwarders (this takes care of all of your external resolution).  You could also place the ISP forwarders directly on your internal DNS servers provided you open up a packet filter rule allowing DNS outbound from those servers (dns queries to your ISP DNS servers are pretty low risk).

    Another thing that I have seen posted around a bit involves root DNS servers showing up all over the executive reports under Top Dropped Destination Hosts.  Some ppl noted this as a bug when they determined that it was the gateway itself trying to update from the root servers.  I have run into this myself and a quick check of your packet filter logs provides confirmation.  I just put in a packet filter rule that allows outbound DNS from the gateway.  

    I don't think of it as a bug though...I love the fact that the ASG is so locked down by default!  It can make the initial config a bit of a brainteaser at times, but its nice to know that ALL traffic is blocked unless you say otherwise!  Even my sonicwall phoned out to services as it saw fit, but not the ASG.
  • Thanks, gudlife, that was an excellent explanation!

    Last week, I was thinking about having the ISP's name servers listed in the PDC/BDC forwarders as a backup.  I decided to not open port 53 for them because those entries would not come into play unless the Astaro was down and some temporary alternative had to be put in place.  What are your thoughts on that?  Is there a scenario I'm not considering?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I have considered that myself and I have implemented it that very way as well.

    I suppose it doesn't really make much sense to go around the gateway, as if it were to fail then you would be offline anyway.  

    I have yet to encounter a place willing to pay for real internet redundancy...ie an HA cluster and dual redundant WAN uplinks from different providers.

    One of the reasons I am really loving Astaro is its flexibility...even with a gateway device hardware failure...restore the backup to a VM or as a dedicated machine appliance and you can be bubble gummed back online in a very short time.

    The only other consideration might be administrative...the gateway's dns cache in addition to that on the local servers can make DNS resolution troubleshooting fun(especially when they all have different values cached up during a propagation of a name change).  But once you have a handle on the resolution flow its simple enough to nslookup against the various network components and flush caches as you go until everybody is on the same page.