<div dir="ltr">We don't do any NAT at the firewall level, they're all public IPs.<div><br></div><div>Thanks,</div><div>Jason</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Mar 26, 2014 at 7:51 AM, Timothe Litt <span dir="ltr"><<a href="mailto:litt@acm.org" target="_blank">litt@acm.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">DNS inspection doesn't do anything useful; bind does enough validity checking.  UDP inspection suffices to let return packets thru.<br>

<br>
Another thing to beware of is NAT - if you do static NAT translation for your nameservers, be sure to specify no-payload (e.g.<br>
  ip nat inside source static tcp/udp 10.0.0.1 53 16.123.213.11 53 extendable no-payload )<br>
<br>
Otherwise, the router will try to be 'helpful' by modifying the payload - which  breaks quite a few things, and not necessarily in obvious ways.<span class="HOEnZb"><font color="#888888"><br>
<br>
Timothe Litt<br>
ACM Distinguished Engineer<br>
--------------------------<br>
This communication may not represent the ACM or my employer's views,<br>
if any, on the matters discussed.</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
On 26-Mar-14 05:02, Sam Wilson wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In article <<a href="mailto:mailman.2530.1395774135.20661.bind-users@lists.isc.org" target="_blank">mailman.2530.1395774135.<u></u>20661.bind-users@lists.isc.org</a><u></u>>,<br>
  Jason Brandt <<a href="mailto:jbrandt@fsmail.bradley.edu" target="_blank">jbrandt@fsmail.bradley.edu</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
For now, I've disabled DNS inspection on our firewall, as it is an ancient<br>
Cisco firewall services module, and that seems to have stabilized things,<br>
but it's only been 30 minutes or so.  Until I get a few days in, I'll keep<br>
researching.<br>
</blockquote>
We used to run DNS inspection on our FWSMs.  We didn't notice any issues<br>
with DNS resolution per se, but we did find that turning it off dropped<br>
the FWSM CPU from ~70% to less than 30%.  We're not aware of any issues<br>
that using DNS inspection might have caused.<br>
<br>
Sam<br>
<br>
</blockquote>
<br>
<br>
</div></div><br>_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Jason K. Brandt</div>
<div>Systems Administrator</div><div><br></div>
</div></div>