FWSMにずっと泣かされ続けている半年。
知らんがな!(←いや、知っとけ(汗
こんなんでました。
%FWSM: Dropped UDP DNS reply from outsideX:*.*.*.*/53 to insideX :*.*.*.*/xxxxx; packet length 720 bytes exceeds configured limit of 512 bytes
原因はこの人です。別に悪いわけではありません。
context TEST1 policy-map global_policy class inspection_default inspect dns maximum-length 512
↑初期設定(v3.1(4)
・[RFC 1035] DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION
・[RFC 1035] ドメイン名−実装と仕様書
2.3.4. Size limits UDP messages 512 octets or less
・[RFC 2671] Extension Mechanisms for DNS (EDNS0)
・[RFC 2671] DNS用拡張メカニズム (EDNS0)
結局、最適値は・・・。(汗 とりあえず、65535いっとく?(死
・Internet Week 2006 DNS DAY 〜DNSにおけるセキュリティ再考〜 「「EDNS0関連の状況と設定について」
森 拓也 [住商情報システム株式会社]」
「適切なedns-udp-sizeの値は?」 EDNS0 deployment http://www.nlnetlabs.nl/downloads/edns0.pdf 約7割が、2048byte。1280/4096はそれぞれ1割/2割程度
おおおおおおおお!有難う御座います!
これで、今日もぐっすり・・・。