Incoming packet through Port 53 blocked

Thanks, Ian, but it's not really mine - I stole the ideas from others here and in the office.

Cheers - Bob

A lot of this plays into how you have your network setup and what you are doing behind your firewall.

Unless you are hosting a public nameserver yourself, no need to allow inbound on 53.  I find that most businesses that are hosting services behind their firewall either don't or don't need to run a public nameserver.  Most use the nameservers provided by their domain registrars.  Since it is such a critical service that is probably the way to go...they resolve faster hosted on a backbone server somewhere anyways.

In a typical config, I have the internal servers with DNS enabled and they sync amongst themselves and assign themselves as DNS1 (PDC) and DNS2 (BDC) on the network clients (this takes care of all of your internal ".local" resolution issues.  Then each of the DNS servers has a forwarder that points to the gateway.  The gateway itself is configured to use the ISP forwarders (this takes care of all of your external resolution).  You could also place the ISP forwarders directly on your internal DNS servers provided you open up a packet filter rule allowing DNS outbound from those servers (dns queries to your ISP DNS servers are pretty low risk).

Another thing that I have seen posted around a bit involves root DNS servers showing up all over the executive reports under Top Dropped Destination Hosts.  Some ppl noted this as a bug when they determined that it was the gateway itself trying to update from the root servers.  I have run into this myself and a quick check of your packet filter logs provides confirmation.  I just put in a packet filter rule that allows outbound DNS from the gateway.  

I don't think of it as a bug though...I love the fact that the ASG is so locked down by default!  It can make the initial config a bit of a brainteaser at times, but its nice to know that ALL traffic is blocked unless you say otherwise!  Even my sonicwall phoned out to services as it saw fit, but not the ASG.

A lot of this plays into how you have your network setup and what you are doing behind your firewall.

Unless you are hosting a public nameserver yourself, no need to allow inbound on 53.  I find that most businesses that are hosting services behind their firewall either don't or don't need to run a public nameserver.  Most use the nameservers provided by their domain registrars.  Since it is such a critical service that is probably the way to go...they resolve faster hosted on a backbone server somewhere anyways.

In a typical config, I have the internal servers with DNS enabled and they sync amongst themselves and assign themselves as DNS1 (PDC) and DNS2 (BDC) on the network clients (this takes care of all of your internal ".local" resolution issues.  Then each of the DNS servers has a forwarder that points to the gateway.  The gateway itself is configured to use the ISP forwarders (this takes care of all of your external resolution).  You could also place the ISP forwarders directly on your internal DNS servers provided you open up a packet filter rule allowing DNS outbound from those servers (dns queries to your ISP DNS servers are pretty low risk).

Another thing that I have seen posted around a bit involves root DNS servers showing up all over the executive reports under Top Dropped Destination Hosts.  Some ppl noted this as a bug when they determined that it was the gateway itself trying to update from the root servers.  I have run into this myself and a quick check of your packet filter logs provides confirmation.  I just put in a packet filter rule that allows outbound DNS from the gateway.  

I don't think of it as a bug though...I love the fact that the ASG is so locked down by default!  It can make the initial config a bit of a brainteaser at times, but its nice to know that ALL traffic is blocked unless you say otherwise!  Even my sonicwall phoned out to services as it saw fit, but not the ASG.