Сообщения без ответов | Активные темы Текущее время: 18 сен 2020, 16:03



Ответить на тему  [ Сообщений: 18 ] 
dns doctoring 
Автор Сообщение

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Добрый день.

Перестала у меня в один прекрасный день работать мутация DNS. Есть мысли, почему это могло произойти?

ASA 5520, 8.0.5
Код:
static (inside,outside) 62.х.9.216 192.168.1.92 netmask 255.255.255.255 dns

Код:
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
...

П.с. Ребутать пробовал :) и трансляцию перебить заново - тоже.

С уважением,
Илья

Ответы днс однозначно проходят через АСУ.


17 фев 2010, 13:17
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
строки nat менял?


17 фев 2010, 13:30
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
неа...
Код:
ASSA# sh run nat
nat (inside) 0 access-list NAT0
nat (inside) 1 access-list NAT
nat (outside) 5 access-list SMTP dns outside
nat (management) 0 access-list NAT0

Код:
ASSA# sh run global
global (inside) 5 192.168.100.130
global (VTK) 1 interface
global (outside) 1 interface

Код:
ASSA# sh access-list SMTP
access-list SMTP; 11 elements
access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=11) 0x76f67400
access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=3) 0x0c56b102
access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f
access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d
access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d
access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73
access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=1) 0x37613c5b
access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=9) 0xe0d6e927
access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=6) 0x9e331af3
access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712
access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82


17 фев 2010, 13:34
Профиль

Зарегистрирован: 16 дек 2009, 23:26
Сообщения: 31
То есть в конфиге никто ничего не правил, я правильно понял? Нет варианта откатиться на предыдущий конфиг, недельной давности? У меня однажды было такое, правда на рутере, show archive config differences разницы в конфигах не показывала, но после восстановления из архивной копии все стало хорошо.
Не знаю, есть ли архив конфигов на ASA, но может пригодится :)


17 фев 2010, 14:11
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Вот в том-то и засада, что конфиг тот же...


17 фев 2010, 14:20
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
перебил соответствующую outside-трансляцию. Заработало, хотя вроде бы dns doctoring работает от static и на PAT ему вообще начхать. Самое интересное, что конфиг-то не изменился. просто переприменил


17 фев 2010, 14:23
Профиль

Зарегистрирован: 16 дек 2009, 23:26
Сообщения: 31
Недокументированные возможности :)


17 фев 2010, 14:29
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Илюха, ты не прав!

Во избежания новых "слетаний" ставь слово dns ещё и в строках nat. Все будет хорошо :)


17 фев 2010, 15:00
Профиль

Зарегистрирован: 08 авг 2014, 11:23
Сообщения: 21
Ilya писал(а):
перебил соответствующую outside-трансляцию.

Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема.


14 сен 2015, 13:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1863
gurlov писал(а):
Ilya писал(а):
перебил соответствующую outside-трансляцию.

Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема.

DNS Doctoring вообще-то только со static NAT (не PAT) работает.

А в чем Ваша проблема?


14 сен 2015, 14:50
Профиль

Зарегистрирован: 08 авг 2014, 11:23
Сообщения: 21
Nikolay_ писал(а):
А в чем Ваша проблема?

у меня схема при которой dns-сервер в inside сети (как, например http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115753-dns-doctoring-asa-config.html#topic2)
НО не работает при таком конфиге:
Код:
object network WIN2003
 host 192.168.33.10
 nat (ins,out) static 10.145.150.10
 
object network FS
 host 192.168.33.11
object network FS_out
 host 10.145.150.11
 
nat (ins,out) source static FS FS_out dns

win2003 - dns - сервер, FS - файловый сервер к которому должен иметь доступ удалённый хост


Вложения:
Диаграмма3.jpg
Диаграмма3.jpg [ 14.58 КБ | Просмотров: 9657 ]
15 сен 2015, 09:39
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1863
У Вас абсолютно неправильное понимание технологии работы DNS doctoring.
Вот это - вообще абсолютно бессмысленно.
Цитата:
object network WIN2003
host 192.168.33.10
nat (ins,out) static 10.145.150.10


Смотрите - у Вас есть ftp сервер он имеет снаружи адрес 10.145.150.11, а внутри 192.168.33.11.
Связано это все трансляцией
Цитата:
object network FS
host 192.168.33.11
object network FS_out
host 10.145.150.11

nat (ins,out) source static FS FS_out dns

Теперь дальше - это сервер имеет имя! например, ftp.test.com, и DNS сервера (скажем так в интернете) разрешают это имя в адрес 10.145.150.11.

Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11


15 сен 2015, 17:42
Профиль

Зарегистрирован: 08 авг 2014, 11:23
Сообщения: 21
Nikolay_ писал(а):
Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11

Nikolay_ писал(а):
У Вас абсолютно неправильное понимание технологии работы DNS doctoring.
Вот это - вообще абсолютно бессмысленно.
Цитата:
object network WIN2003
host 192.168.33.10
nat (ins,out) static 10.145.150.10

Вы мне описали схему, при которой DNS-сервер находиться во внешней сети, а application server и клиент во внутренней. НО у меня схема другая: DNS-сервер и application server расположены во внутренней сети а клиент во внешней. (посмотрите ссылку которую я дал постом выше и схему)
По этому я и указал
Код:
object network WIN2003
 host 192.168.33.10
 nat (ins,out) static 10.145.150.10

так как это позволяет обращаться к DNS-серверу (я не указал что win2003 это и есть DNS-сервер !?!?! прошу прощения :roll:) удалённому клиенту из внешне сети. Но "докторить" этот сервер мне не надо, а только сервер FS


15 сен 2015, 18:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1863
Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи.
А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11?

Тогда может быть нужно переписать трансляцию в виде
Цитата:
object network FS
host 192.168.33.11
object network FS_out
host 10.145.150.11

nat (out,ins) source static FS_out FS dns


16 сен 2015, 09:50
Профиль

Зарегистрирован: 08 авг 2014, 11:23
Сообщения: 21
Nikolay_ писал(а):
Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи.
А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11?

Тогда может быть нужно переписать трансляцию в виде
Цитата:
object network FS
host 192.168.33.11
object network FS_out
host 10.145.150.11

nat (out,ins) source static FS_out FS dns

Да, DNS возвращает 192.168.33.11, и при прохождении пакета через ASA ответ не изменяется (и на клиенте удалённом смотрел и wireshark-ом на входе и выходе из ASA)

Попробовал переписать трансляцию по вашему примеру - не помогло.


16 сен 2015, 10:35
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1863
Тогда не знаю, возможно Doctoring работает только в направлении inside - outside.
Интересно, однако... Будет время - сам попробую...


16 сен 2015, 11:25
Профиль

Зарегистрирован: 08 авг 2014, 11:23
Сообщения: 21
Nikolay_ писал(а):
Тогда не знаю, возможно Doctoring работает только в направлении inside - outside.
Интересно, однако... Будет время - сам попробую...

Работает и в обратном направлении: мало того что на сайте cisco.com это написано, так я на другом оборудовании сделал такую схему - всё работает (правда версия IOS тоже разная). Есть подозрение, что на неправильноработающем оборудовании не срабатывает inspect dns


18 сен 2015, 16:10
Профиль

Зарегистрирован: 08 авг 2014, 11:23
Сообщения: 21
УРА !!!!!!!
Я победил эту проблему

Значит, подытожу:
  • Имеется схем с DNS-сервером (192.168.33.10) и файловым сервером (192.168.33.11) в inside сети и Remote_Client в outside сети.
  • Задача - сделать DNS-doctoring для файлового сервера.
Простое добавление волшебного dns в конце статического NAT для файлового сервер не помогло! (точнее в ASA v7.2 помогло, а в ASA v9.2 нет) т.е. вот так не работает:
Код:
object network DNS_SRV
 host 192.168.33.10
object network FS_SRV
 host 192.168.33.11
 
object network DNS_SRV
 nat (inside,outside) static 10.145.150.10
object network FS_SRV
 nat (inside,outside) static 10.145.150.11 dns

DNS_SRV здесь указан только для того, чтобы показать что он тоже находиться в inside сети.
Решение нашёл по этой ссылке http://networkengineering.stackexchange.com/questions/5110/cisco-asa-double-nat-with-dns-translation
Необходимо добавить отдельную трансляцию. При этом бесполезное dns в конце трансляции файлового сервера можно убрать. Вот так работает:
Код:
object network DNS_SRV
 host 192.168.33.10
object network FS_SRV
 host 192.168.33.11
object network DNS_NAT_to_FS
 host 10.145.150.11
 description translates A-Record  (DNS answer) 192.168.33.11 to 10.145.150.11
 
object network DNS_SRV
 nat (inside,outside) static 10.145.150.10
object network FS_SRV
 nat (inside,outside) static 10.145.150.11
object network DNS_NAT_to_FS
 nat (outside,inside) static 192.168.33.11 dns


Вложения:
Диаграмма.jpg
Диаграмма.jpg [ 16.76 КБ | Просмотров: 9536 ]
20 сен 2015, 14:57
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 18 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 35


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB