5 commentaires
salut. les firewalls modernes font du DNS scrubbing ou de l'inspection DNS. ils peuvent refuser des réponses DNS qui ne correspondent pas à la requête initiale ou qui sont mal formées. checke les logs de ton Palo Alto pour voir s'il ne droppe pas des paquets DNS en retour. et parfois, si l'upstream DNS est trop lent, le firewall timeout la session UDP
ouais et t'utilises quel DNS resolver côté service ? si c'est le resolver par défaut du système, il retente sur d'autres serveurs. assure-toi que tous les DNS forwarders de ton firewall ou de ton resolver interne sont sains et atteignables. si t'as une source qui merde ça peut créer ce genre d'aléas
ok je vois pour le dns scrubbing. on a un forwarder interne qui pointe vers les DNS de google (8.8.8.8) et les nôtres. je vais regarder les logs du palo alto et voir si je vois des drops pour les réponses. c'est une bonne piste le timeout aussi. thx
de rien. des fois aussi les ttl des enregistrements DNS sont très bas ce qui fait bcp de requêtes et le firewall a du mal à suivre toutes les sessions UDP. mais ça c'est plus rare
je viens de checker les logs du palo alto et bingo ! il droppait des réponses dns avec le message 'dns response out of window'. c'était lié à une feature de protection. désactivée, et ça marche niquel. merci bcp !
Laisser une réponse
Vous devez être connecté pour poster un message !
bonjour les devs. on a un souci bizarre. quand nos services tentent de résoudre un nom de domaine externe genre
api.external-partner.comvia notre firewall (Palo Alto) ça marche une fois sur deux. on dirait que le firewall laisse passer le traficUDP 53mais les réponses arrivent pas toujours. on a bien des règles de sortie