Fortigate “Deny: DNS error”

Fortigate Firewalls inspizieren den Datenstrom. Auch den von DNS (Domain Name Service).

Dabei erscheint immer wieder einmal der Fehler:  “Deny: DNS error

Schaut man die Details dieser Log Einträge an:

Da fällt auf, dass als threats und als threattyps in beiden Fällen “failed-connection” angegeben wird. Diese Angabe ist komplett irreführend.

Durch die Inspektion des Datenstroms bedeutet dies bei Fortigate, dass jede DNS Antwort, die ein anderes Flag als “NOERROR” enthält, als “Deny: DNS error” ausgewiesen wird.

Die effektiven Verbindungs-Fehler würden mit “Deny: IP connection error” ausgewiesen. Das heisst ein, Paket wurde gesendet, es ist aber nie eine Antwort zurück gekommen.

Im Klartext:

Deny: DNS error“: Der DNS Server sendet eine Antwort. Die Fortigate interpretiert die Antwort als Fehler.

Deny: IP connection error“:  In diesem Fall kam die Verbindung nicht zustande. Ein Paket wurde gesendet, es kam aber nie eine Antwort zurück.

Es gibt zu diesem Thema einen Artikel in der Knowledge Base von Fortinet: ⇒https://kb.fortinet.com/kb/documentLink.do?externalID=FD39982

Menü schließen