<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><DIV>Dear Anand,</DIV>
<DIV> </DIV>
<DIV>In what situation, DNS packet size can exceed more than 512 bytes.  In fact, my gateway DNS server should not contact internal DNS server except internal domain name resolution if any user access any internal website through proxy. </DIV>
<DIV> </DIV>
<DIV>My proxy is using gateway DNS for name resolution. So if any users access internal website through proxy, proxy will send the name lookup to gateway DNS and gateway DNS will forward the request to internal DNS server.</DIV>
<DIV> </DIV>
<DIV>In this case, will the internal domain DNS query exceed 512 bytes?</DIV>
<DIV> </DIV>
<DIV>Regards</DIV>
<DIV>papdheen M<BR><BR>--- On <B>Tue, 13/12/11, Anand Buddhdev <I><anandb@ripe.net></I></B> wrote:<BR></DIV>
<BLOCKQUOTE style="BORDER-LEFT: rgb(16,16,255) 2px solid; PADDING-LEFT: 5px; MARGIN-LEFT: 5px"><BR>From: Anand Buddhdev <anandb@ripe.net><BR>Subject: Re: Suspecious DNS queries dropped by Firewall<BR>To: "babu dheen" <babudheen@yahoo.co.in><BR>Cc: bind-users@lists.isc.org<BR>Date: Tuesday, 13 December, 2011, 5:39 PM<BR><BR>
<DIV class=plainMail>On 13/12/2011 13:04, babu dheen wrote:<BR><BR>> Hi,<BR>>  <BR>> Our company users are using internal DNS servers for name resolution<BR>> and internal DNS servers are configured to forward the DNS query to<BR>> company gateway DNS servers for external queries<BR>> <BR>> User --> internal DNS server ---> gateway DNS server ---> internet<BR>>  <BR>> But when i look at the firewall hit , i can see gateway DNS server is<BR>> again sending DNS query to internal DNS server and the same is denied in<BR>> firewall with below error<BR>> <BR>> Dropped UDP DNS reply from OUTSIDE:<gateway-dns-ip>/53 to<BR>> DMZ50:<internal-dns-ip>/63953; packet length 526 bytes exceeds<BR>> configured limit of 512 bytes<BR><BR>Your firewall is misconfigured. Who said DNS reply packets cannot be<BR>bigger than 512 bytes? You need to reconfigure your firewall, and remove<BR>that 512-byte
 limit for DNS queries and responses.<BR></DIV></BLOCKQUOTE></td></tr></table>