Anticisco
http://www.anticisco.ru/forum/

dns doctoring
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=532
Страница 1 из 1

Автор:  Ilya [ 17 фев 2010, 13:17 ]
Заголовок сообщения:  dns doctoring

Добрый день.

Перестала у меня в один прекрасный день работать мутация DNS. Есть мысли, почему это могло произойти?

ASA 5520, 8.0.5
Код:
static (inside,outside) 62.х.9.216 192.168.1.92 netmask 255.255.255.255 dns

Код:
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
...

П.с. Ребутать пробовал :) и трансляцию перебить заново - тоже.

С уважением,
Илья

Ответы днс однозначно проходят через АСУ.

Автор:  Fedia [ 17 фев 2010, 13:30 ]
Заголовок сообщения:  Re: dns doctoring

строки nat менял?

Автор:  Ilya [ 17 фев 2010, 13:34 ]
Заголовок сообщения:  Re: dns doctoring

неа...
Код:
ASSA# sh run nat
nat (inside) 0 access-list NAT0
nat (inside) 1 access-list NAT
nat (outside) 5 access-list SMTP dns outside
nat (management) 0 access-list NAT0

Код:
ASSA# sh run global
global (inside) 5 192.168.100.130
global (VTK) 1 interface
global (outside) 1 interface

Код:
ASSA# sh access-list SMTP
access-list SMTP; 11 elements
access-list SMTP line 1 extended permit tcp any host 62.x.9.216 eq www (hitcnt=11) 0x76f67400
access-list SMTP line 2 extended permit tcp any host 62.x.9.216 eq https (hitcnt=3) 0x0c56b102
access-list SMTP line 3 extended permit tcp any host 62.x.9.216 eq 7143 (hitcnt=0) 0x637ac85f
access-list SMTP line 4 extended permit tcp any host 62.x.9.216 eq 7993 (hitcnt=0) 0x3d57d53d
access-list SMTP line 5 extended permit tcp any host 62.x.9.216 eq 7110 (hitcnt=0) 0xfe261e4d
access-list SMTP line 6 extended permit tcp any host 62.x.9.216 eq 7995 (hitcnt=0) 0x467afe73
access-list SMTP line 7 extended permit tcp any host 62.x.9.216 eq domain (hitcnt=1) 0x37613c5b
access-list SMTP line 8 extended permit udp any host 62.x.9.216 eq domain (hitcnt=9) 0xe0d6e927
access-list SMTP line 9 extended permit tcp any host 62.x.9.216 eq smtp (hitcnt=6) 0x9e331af3
access-list SMTP line 10 extended permit tcp any host 62.x.9.216 eq 2525 (hitcnt=0) 0xa119c712
access-list SMTP line 11 extended permit tcp any host 62.x.9.216 eq 7025 (hitcnt=0) 0xe496ef82

Автор:  Dreadnought82 [ 17 фев 2010, 14:11 ]
Заголовок сообщения:  Re: dns doctoring

То есть в конфиге никто ничего не правил, я правильно понял? Нет варианта откатиться на предыдущий конфиг, недельной давности? У меня однажды было такое, правда на рутере, show archive config differences разницы в конфигах не показывала, но после восстановления из архивной копии все стало хорошо.
Не знаю, есть ли архив конфигов на ASA, но может пригодится :)

Автор:  Ilya [ 17 фев 2010, 14:20 ]
Заголовок сообщения:  Re: dns doctoring

Вот в том-то и засада, что конфиг тот же...

Автор:  Ilya [ 17 фев 2010, 14:23 ]
Заголовок сообщения:  Re: dns doctoring

перебил соответствующую outside-трансляцию. Заработало, хотя вроде бы dns doctoring работает от static и на PAT ему вообще начхать. Самое интересное, что конфиг-то не изменился. просто переприменил

Автор:  Dreadnought82 [ 17 фев 2010, 14:29 ]
Заголовок сообщения:  Re: dns doctoring

Недокументированные возможности :)

Автор:  Fedia [ 17 фев 2010, 15:00 ]
Заголовок сообщения:  Re: dns doctoring

Илюха, ты не прав!

Во избежания новых "слетаний" ставь слово dns ещё и в строках nat. Все будет хорошо :)

Автор:  gurlov [ 14 сен 2015, 13:12 ]
Заголовок сообщения:  Re: dns doctoring

Ilya писал(а):
перебил соответствующую outside-трансляцию.

Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема.

Автор:  Nikolay_ [ 14 сен 2015, 14:50 ]
Заголовок сообщения:  Re: dns doctoring

gurlov писал(а):
Ilya писал(а):
перебил соответствующую outside-трансляцию.

Поясните, пожалуйста, что вы именно сделали? У меня, похоже, такая же проблема.

DNS Doctoring вообще-то только со static NAT (не PAT) работает.

А в чем Ваша проблема?

Автор:  gurlov [ 15 сен 2015, 09:39 ]
Заголовок сообщения:  Re: dns doctoring

Nikolay_ писал(а):
А в чем Ваша проблема?

у меня схема при которой dns-сервер в inside сети (как, например http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115753-dns-doctoring-asa-config.html#topic2)
НО не работает при таком конфиге:
Код:
object network WIN2003
 host 192.168.33.10
 nat (ins,out) static 10.145.150.10
 
object network FS
 host 192.168.33.11
object network FS_out
 host 10.145.150.11
 
nat (ins,out) source static FS FS_out dns

win2003 - dns - сервер, FS - файловый сервер к которому должен иметь доступ удалённый хост

Вложения:
Диаграмма3.jpg
Диаграмма3.jpg [ 14.58 КБ | Просмотров: 16839 ]

Автор:  Nikolay_ [ 15 сен 2015, 17:42 ]
Заголовок сообщения:  Re: dns doctoring

У Вас абсолютно неправильное понимание технологии работы DNS doctoring.
Вот это - вообще абсолютно бессмысленно.
Цитата:
object network WIN2003
host 192.168.33.10
nat (ins,out) static 10.145.150.10


Смотрите - у Вас есть ftp сервер он имеет снаружи адрес 10.145.150.11, а внутри 192.168.33.11.
Связано это все трансляцией
Цитата:
object network FS
host 192.168.33.11
object network FS_out
host 10.145.150.11

nat (ins,out) source static FS FS_out dns

Теперь дальше - это сервер имеет имя! например, ftp.test.com, и DNS сервера (скажем так в интернете) разрешают это имя в адрес 10.145.150.11.

Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11

Автор:  gurlov [ 15 сен 2015, 18:12 ]
Заголовок сообщения:  Re: dns doctoring

Nikolay_ писал(а):
Та вот, когда Ваши клиенты внутри сети (192.168.33.0/24) имеют в качестве DNS сервера сервер 10.145.150.10 или 8.8.8.8 или еще какой-то за outside interface и обращаются к ftp серверу по имени ftp.test.com, то ASA будет перехватывать DNS ответы от 10.145.150.10 и подменять в них адрес 10.145.150.11 на адрес 192.168.33.11

Nikolay_ писал(а):
У Вас абсолютно неправильное понимание технологии работы DNS doctoring.
Вот это - вообще абсолютно бессмысленно.
Цитата:
object network WIN2003
host 192.168.33.10
nat (ins,out) static 10.145.150.10

Вы мне описали схему, при которой DNS-сервер находиться во внешней сети, а application server и клиент во внутренней. НО у меня схема другая: DNS-сервер и application server расположены во внутренней сети а клиент во внешней. (посмотрите ссылку которую я дал постом выше и схему)
По этому я и указал
Код:
object network WIN2003
 host 192.168.33.10
 nat (ins,out) static 10.145.150.10

так как это позволяет обращаться к DNS-серверу (я не указал что win2003 это и есть DNS-сервер !?!?! прошу прощения :roll:) удалённому клиенту из внешне сети. Но "докторить" этот сервер мне не надо, а только сервер FS

Автор:  Nikolay_ [ 16 сен 2015, 09:50 ]
Заголовок сообщения:  Re: dns doctoring

Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи.
А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11?

Тогда может быть нужно переписать трансляцию в виде
Цитата:
object network FS
host 192.168.33.11
object network FS_out
host 10.145.150.11

nat (out,ins) source static FS_out FS dns

Автор:  gurlov [ 16 сен 2015, 10:35 ]
Заголовок сообщения:  Re: dns doctoring

Nikolay_ писал(а):
Никогда не слышал о таком варианте использования DNS doctoting... Так что бы снаружи.
А какой адрес возвращает DNS сервер на DNS запрос об FTP? 192.168.33.11?

Тогда может быть нужно переписать трансляцию в виде
Цитата:
object network FS
host 192.168.33.11
object network FS_out
host 10.145.150.11

nat (out,ins) source static FS_out FS dns

Да, DNS возвращает 192.168.33.11, и при прохождении пакета через ASA ответ не изменяется (и на клиенте удалённом смотрел и wireshark-ом на входе и выходе из ASA)

Попробовал переписать трансляцию по вашему примеру - не помогло.

Автор:  Nikolay_ [ 16 сен 2015, 11:25 ]
Заголовок сообщения:  Re: dns doctoring

Тогда не знаю, возможно Doctoring работает только в направлении inside - outside.
Интересно, однако... Будет время - сам попробую...

Автор:  gurlov [ 18 сен 2015, 16:10 ]
Заголовок сообщения:  Re: dns doctoring

Nikolay_ писал(а):
Тогда не знаю, возможно Doctoring работает только в направлении inside - outside.
Интересно, однако... Будет время - сам попробую...

Работает и в обратном направлении: мало того что на сайте cisco.com это написано, так я на другом оборудовании сделал такую схему - всё работает (правда версия IOS тоже разная). Есть подозрение, что на неправильноработающем оборудовании не срабатывает inspect dns

Автор:  gurlov [ 20 сен 2015, 14:57 ]
Заголовок сообщения:  Re: dns doctoring

УРА !!!!!!!
Я победил эту проблему

Значит, подытожу:
  • Имеется схем с DNS-сервером (192.168.33.10) и файловым сервером (192.168.33.11) в inside сети и Remote_Client в outside сети.
  • Задача - сделать DNS-doctoring для файлового сервера.
Простое добавление волшебного dns в конце статического NAT для файлового сервер не помогло! (точнее в ASA v7.2 помогло, а в ASA v9.2 нет) т.е. вот так не работает:
Код:
object network DNS_SRV
 host 192.168.33.10
object network FS_SRV
 host 192.168.33.11
 
object network DNS_SRV
 nat (inside,outside) static 10.145.150.10
object network FS_SRV
 nat (inside,outside) static 10.145.150.11 dns

DNS_SRV здесь указан только для того, чтобы показать что он тоже находиться в inside сети.
Решение нашёл по этой ссылке http://networkengineering.stackexchange.com/questions/5110/cisco-asa-double-nat-with-dns-translation
Необходимо добавить отдельную трансляцию. При этом бесполезное dns в конце трансляции файлового сервера можно убрать. Вот так работает:
Код:
object network DNS_SRV
 host 192.168.33.10
object network FS_SRV
 host 192.168.33.11
object network DNS_NAT_to_FS
 host 10.145.150.11
 description translates A-Record  (DNS answer) 192.168.33.11 to 10.145.150.11
 
object network DNS_SRV
 nat (inside,outside) static 10.145.150.10
object network FS_SRV
 nat (inside,outside) static 10.145.150.11
object network DNS_NAT_to_FS
 nat (outside,inside) static 192.168.33.11 dns


Вложения:
Диаграмма.jpg
Диаграмма.jpg [ 16.76 КБ | Просмотров: 16718 ]

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/