DNS axfr Transfer kommen nicht durch die Firewall

[rolfdo]

Hallo,

wir haben opnsense als Lord-Balancer mit zwei WAN-Interfaces im Einsatz. In einem Co-location Center haben wir einen externen Nameserver als Slave am Laufen. Das System ist Ubuntu 18.04 mit bind9 als DNS-Server.

Intern ist quasi ein vergleichbarer DNS-Server in der DMZ als Master im Einsatz.

Per Zufall habe ich festgestellt, das der Slave DNS-Server keinen Zone-Transfer durchbekommt. Die TCP-Session verreckt innerhalb von opnsense.

Am Lan-Interface sehe ich den Traffic noch, aber beim VPN-Interface sehe ich den Traffic nicht mehr.

Der Fehler muss irgendwo in den Firewall-Rules liegen. Gibt es einen guten Guide, wie man die Rules Debugger kann?

Ich habe mir das Log-Interface auf dem GUI angesehen und damit kann ich eigentlich wenig anfangen.

Schonmal vorab vielen dank für Antworten.

Rolf

[JeGr]

Regel-Logs anschauen, eingrenzen auf die Quell- oder Ziel-IP die man untersuchen will und dann "Traffic erzeugen", also bspw. nen AXFR anstoßen.

Für AXFR ist IMHO tcp/53 und nicht (nur) udp/53 zuständig, sollte also auch als Regel erlaubt sein. Ansonsten wenn du denkst, dass die Regel stimmt, das Logging der Regel einschalten und zusehen, ob die Regel überhaupt getriggert wird oder ob die Pakete vorher schon von irgendwas geblockt werden.

Kann aber niemand generisch sagen, wie man das am Besten debuggt, weil das immer auch auf dein Setup ankommt. Und ohne weitere Details zu Regeln, Routen etc. kann jetzt auch kaum jemand was zu sagen, warum es nicht klappt.

CHeers

[rolfdo]

Hallo,
habe es gestern abend zum Laufen gebracht. TCP/UDP auf Port 53 waren okay, aber die Regelstruktur war das Problem. Im ersten Schritt habe ich alles nicht primär notwendige gelöscht um dann
a) einen Überblick zu den Regeln zu bekommen und um
b) die Regeln in die notwendige Struktur (Regeldurchlauf) zu bringen.
Seitdem gehen auch wieder die axfr transfers durch.
Rolf