Én itt egész biztosan a root causet keresném meg:
- milyen DNSeket kérdez le
- ezeket miért kérdezi le, és miért ilyen nagy gyakorisággal
- a tűzfalon miért megy rá a CPU-ra minden egyes session, eszerint nem csak sokszor, de sokféle különböző DNS szervert is szólít meg a rendszered? Amennyire tudom, a legtöbb tűzfal architektúra a hasonló sessionöket (src+dst IP és dst port) tudja fast-trackelni, ha azok engedélyezett forgalmak, nagyjából a last resort ráküldeni bármi CPU intenzív feldolgozó modulra hogy az adott csomag go/nogo, stb.
- miért külső DNS-t használtok egyébként, miért nincs legalább egy belső DNS proxy?

Csak attól, hogy valami működését (még) nem érted, az attól még nem hiba
Itt nem a tűzfalas kollega volt a helikopter, szerintem jó döntést hozott, azért csak DNS querykkel megfektetni egy értelmesebb tűzfalat, az nem kispálya

[ Szerkesztve ]