<div dir="ltr"><div class="gmail_extra"><div><div class="gmail_signature" data-smartmail="gmail_signature"><br></div></div><div class="gmail_quote">On Mon, Nov 21, 2016 at 7:02 PM, schilling <span dir="ltr"><<a href="mailto:schilling2006@gmail.com" target="_blank">schilling2006@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">added both tcp and udp port 53, still seeing the log messages. <div><br></div><div>Best,</div><div><br></div><div>Shiling</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 21, 2016 at 5:45 PM, Anand Buddhdev <span dir="ltr"><<a href="mailto:anandb@ripe.net" target="_blank">anandb@ripe.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 22/11/2016 00:27, schilling wrote:<br>
<br>
> Thanks for the insight.<br>
> I added the following rule<br>
> sudo firewall-cmd --permanent --direct --get-all-rules<br>
> [sudo] password for admin:<br>
> ipv4 filter OUTPUT 0 -d 10.10.10.100 -p tcp -m tcp --dport=53 -j ACCEPT<br>
> where 10.10.10.100 is our DNS master, still receiving the error.<br>
<br>
Why have you only allowed TCP port 53? What about UDP port 53? BIND<br>
first sends a UDP query to the master for the zone's SOA record, to<br>
determine if it needs to transfer the zone or not.<br>
<br>
Regards,<br>
Anand<br>
</blockquote></div></div></div></div><br></blockquote><div><br></div><div>I don't have a solution, but some debugging options:</div><div>I would suggest running packet traces with the same steps, with and without the firewall, and compare the traces. </div><div>Also, if possible, turn on logging in the firewall and see what is being blocked.  </div><div>You could also turn on BIND debugging - see the appendix of the "DNS and BIND" book for debugging help.</div><div><br></div><div>-- </div><div>Bob Harold</div><div> </div></div><br></div></div>