Anticisco http://www.anticisco.ru/forum/ |
|
dns doctoring http://www.anticisco.ru/forum/viewtopic.php?f=2&t=532 |
Страница 1 из 1 |
Автор: | Ilya [ 17 фев 2010, 13:17 ] |
Заголовок сообщения: | dns doctoring |
Добрый день. Перестала у меня в один прекрасный день работать мутация DNS. Есть мысли, почему это могло произойти? ASA 5520, 8.0.5 Код: static (inside,outside) 62.х.9.216 192.168.1.92 netmask 255.255.255.255 dns Код: policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 ... П.с. Ребутать пробовал и трансляцию перебить заново - тоже. С уважением, Илья Ответы днс однозначно проходят через АСУ. |
Автор: | Fedia [ 17 фев 2010, 13:30 ] |
Заголовок сообщения: | Re: dns doctoring |
строки nat менял? |
Автор: | Ilya [ 17 фев 2010, 13:34 ] |
Заголовок сообщения: | Re: dns doctoring |
неа... Код: ASSA# sh run nat nat (inside) 0 access-list NAT0 nat (inside) 1 access-list NAT nat (outside) 5 access-list SMTP dns outside nat (management) 0 access-list NAT0 Код: ASSA# sh run global global (inside) 5 192.168.100.130 global (VTK) 1 interface global (outside) 1 interface Код: ASSA# sh access-list SMTP access-list SMTP; 11 elements access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=11) 0x76f67400 access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=3) 0x0c56b102 access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73 access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=1) 0x37613c5b access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=9) 0xe0d6e927 access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=6) 0x9e331af3 access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712 access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82 |
Автор: | Dreadnought82 [ 17 фев 2010, 14:11 ] |
Заголовок сообщения: | Re: dns doctoring |
То есть в конфиге никто ничего не правил, я правильно понял? Нет варианта откатиться на предыдущий конфиг, недельной давности? У меня однажды было такое, правда на рутере, show archive config differences разницы в конфигах не показывала, но после восстановления из архивной копии все стало хорошо. Не знаю, есть ли архив конфигов на ASA, но может пригодится |
Автор: | Ilya [ 17 фев 2010, 14:20 ] |
Заголовок сообщения: | Re: dns doctoring |
Вот в том-то и засада, что конфиг тот же... |
Автор: | Ilya [ 17 фев 2010, 14:23 ] |
Заголовок сообщения: | Re: dns doctoring |
перебил соответствующую outside-трансляцию. Заработало, хотя вроде бы dns doctoring работает от static и на PAT ему вообще начхать. Самое интересное, что конфиг-то не изменился. просто переприменил |
Автор: | Dreadnought82 [ 17 фев 2010, 14:29 ] |
Заголовок сообщения: | Re: dns doctoring |
Недокументированные возможности |
Автор: | Fedia [ 17 фев 2010, 15:00 ] |
Заголовок сообщения: | Re: dns doctoring |
Илюха, ты не прав! Во избежания новых "слетаний" ставь слово dns ещё и в строках nat. Все будет хорошо |
Автор: | gurlov [ 14 сен 2015, 13:12 ] |
Заголовок сообщения: | Re: dns doctoring |
Ilya писал(а): перебил соответствующую outside-трансляцию. Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема. |
Автор: | Nikolay_ [ 14 сен 2015, 14:50 ] |
Заголовок сообщения: | Re: dns doctoring |
gurlov писал(а): Ilya писал(а): перебил соответствующую outside-трансляцию. Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема. DNS Doctoring вообще-то только со static NAT (не PAT) работает. А в чем Ваша проблема? |
Автор: | gurlov [ 15 сен 2015, 09:39 ] | ||
Заголовок сообщения: | Re: dns doctoring | ||
Nikolay_ писал(а): А в чем Ваша проблема? у меня схема при которой dns-сервер в inside сети (как, например http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115753-dns-doctoring-asa-config.html#topic2) НО не работает при таком конфиге: Код: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 object network FS host 192.168.33.11 object network FS_out host 10.145.150.11 nat (ins,out) source static FS FS_out dns win2003 - dns - сервер, FS - файловый сервер к которому должен иметь доступ удалённый хост
|
Автор: | Nikolay_ [ 15 сен 2015, 17:42 ] |
Заголовок сообщения: | Re: dns doctoring |
У Вас абсолютно неправильное понимание технологии работы DNS doctoring. Вот это - вообще абсолютно бессмысленно. Цитата: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 Смотрите - у Вас есть ftp сервер он имеет снаружи адрес 10.145.150.11, а внутри 192.168.33.11. Связано это все трансляцией Цитата: object network FS host 192.168.33.11 object network FS_out host 10.145.150.11 nat (ins,out) source static FS FS_out dns Теперь дальше - это сервер имеет имя! например, ftp.test.com, и DNS сервера (скажем так в интернете) разрешают это имя в адрес 10.145.150.11. Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11 |
Автор: | gurlov [ 15 сен 2015, 18:12 ] |
Заголовок сообщения: | Re: dns doctoring |
Nikolay_ писал(а): Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11 Nikolay_ писал(а): У Вас абсолютно неправильное понимание технологии работы DNS doctoring. Вот это - вообще абсолютно бессмысленно. Цитата: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 Вы мне описали схему, при которой DNS-сервер находиться во внешней сети, а application server и клиент во внутренней. НО у меня схема другая: DNS-сервер и application server расположены во внутренней сети а клиент во внешней. (посмотрите ссылку которую я дал постом выше и схему) По этому я и указал Код: object network WIN2003 host 192.168.33.10 nat (ins,out) static 10.145.150.10 так как это позволяет обращаться к DNS-серверу (я не указал что win2003 это и есть DNS-сервер !?!?! прошу прощения ) удалённому клиенту из внешне сети. Но "докторить" этот сервер мне не надо, а только сервер FS |
Автор: | Nikolay_ [ 16 сен 2015, 09:50 ] |
Заголовок сообщения: | Re: dns doctoring |
Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи. А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11? Тогда может быть нужно переписать трансляцию в виде Цитата: object network FS host 192.168.33.11 object network FS_out host 10.145.150.11 nat (out,ins) source static FS_out FS dns |
Автор: | gurlov [ 16 сен 2015, 10:35 ] |
Заголовок сообщения: | Re: dns doctoring |
Nikolay_ писал(а): Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи. А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11? Тогда может быть нужно переписать трансляцию в виде Цитата: object network FS host 192.168.33.11 object network FS_out host 10.145.150.11 nat (out,ins) source static FS_out FS dns Да, DNS возвращает 192.168.33.11, и при прохождении пакета через ASA ответ не изменяется (и на клиенте удалённом смотрел и wireshark-ом на входе и выходе из ASA) Попробовал переписать трансляцию по вашему примеру - не помогло. |
Автор: | Nikolay_ [ 16 сен 2015, 11:25 ] |
Заголовок сообщения: | Re: dns doctoring |
Тогда не знаю, возможно Doctoring работает только в направлении inside - outside. Интересно, однако... Будет время - сам попробую... |
Автор: | gurlov [ 18 сен 2015, 16:10 ] |
Заголовок сообщения: | Re: dns doctoring |
Nikolay_ писал(а): Тогда не знаю, возможно Doctoring работает только в направлении inside - outside. Интересно, однако... Будет время - сам попробую... Работает и в обратном направлении: мало того что на сайте cisco.com это написано, так я на другом оборудовании сделал такую схему - всё работает (правда версия IOS тоже разная). Есть подозрение, что на неправильноработающем оборудовании не срабатывает inspect dns |
Автор: | gurlov [ 20 сен 2015, 14:57 ] | ||
Заголовок сообщения: | Re: dns doctoring | ||
УРА !!!!!!! Я победил эту проблему Значит, подытожу:
Код: object network DNS_SRV host 192.168.33.10 object network FS_SRV host 192.168.33.11 object network DNS_SRV nat (inside,outside) static 10.145.150.10 object network FS_SRV nat (inside,outside) static 10.145.150.11 dns DNS_SRV здесь указан только для того, чтобы показать что он тоже находиться в inside сети. Решение нашёл по этой ссылке http://networkengineering.stackexchange.com/questions/5110/cisco-asa-double-nat-with-dns-translation Необходимо добавить отдельную трансляцию. При этом бесполезное dns в конце трансляции файлового сервера можно убрать. Вот так работает: Код: object network DNS_SRV host 192.168.33.10 object network FS_SRV host 192.168.33.11 object network DNS_NAT_to_FS host 10.145.150.11 description translates A-Record (DNS answer) 192.168.33.11 to 10.145.150.11 object network DNS_SRV nat (inside,outside) static 10.145.150.10 object network FS_SRV nat (inside,outside) static 10.145.150.11 object network DNS_NAT_to_FS nat (outside,inside) static 192.168.33.11 dns
|
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |