KB ID 0001113
problém
Cisco DNS doctoring je proces, který zachycuje paket odpovědi DNS, když se vrací zpět do sítě, a mění IP adresu v odpovědi.
proč byste to chtěli udělat? Řekněme, že máte v síti webový server a jeho veřejná IP adresa je 111.111.111.111 a ve vaší síti LAN je její interní IP adresa 192.168.1.100, její veřejný název DNS (nebo URL) je www.yoursite.com. když uživatel zadá www.vaše stránky.com do svého prohlížeče, DNS bude reagovat s veřejnou IP 111.111.111.111, a ne IP adresu, která je na vaší síti LAN (192.168.1.100). Klient nemůže poslat provoz z firewallu, „vlásenka“ to i když 180 stupňů a poslat provoz zpět znovu. Takže to selže. Co DNS dělá, je hledat pakety odezvy DNS, které mají v sobě 111.111.111.111 a dynamicky mění ip v paketu na 192.168.1.100.
existují nějaké předpoklady? Pouze to, že server DNS, který odesílá odpověď, odešle odpověď přes ASA, tj. pokud máte vlastní server DNS na místě, který slouží požadavku (bez dopředného vyhledávání nebo kořenového nápovědy). pak odpověď DNS nejde přes ASA, takže to nemůže doktorovat. K tomu dochází, pokud máte veřejný web a vaše interní doména stejný název nebo pokud je váš server DNS autoritativní pro doménu s IP adresou mimo vaši síť. Chcete-li tento problém vyřešit, je nejlepší nastavit „Split DNS“
Windows Nastavení Split DNS
jak nastavit DNS Doctoring
pokud si přečtete preambuli, víte, že odpověď DNS musí jít přes firewall a veřejná IP, která se vyřeší, musí být ve vaší síti. Může to být buď hostitel ve vaší síti s veřejnou IP, nebo hostitel ve vašem DMZ, který má veřejnou IP (oba příklady jsou uvedeny níže).
vysvětlení, co je DNS doctoring, trvá déle,než je skutečně nastavit. V podstatě jednoduše přidáte Klíčové slovo “ dns “ na konec statického příkazu NAT pro interního hostitele na jeho veřejnou adresu.
volba 1-DNS Doctoring pro hostitele v síti LAN
Jedná se jednoduše o statický nat typu one-to-one s přidaným klíčovým slovem dns, takže pomocí výše uvedeného příkladu (vlevo) se podívejme na naše Nat.
Petes-ASA# show run nat!object network obj_any nat (inside,outside) dynamic interfaceobject network Obj-Static-128.65.98.44 nat (inside,outside) static 128.65.98.44
můžete mít mnohem více výstupů, ale to mi říká, že existuje dynamický NAT pro veškerý síťový provoz (dynamicky PAT vše do vnějšího rozhraní). A statický překlad pro vašeho interního hostitele, to je ten, ke kterému musíme přidat klíčové slovo dns.
Petes-ASA# configure terminal Petes-ASA(config)# object network Obj-Static-128.65.98.44Petes-ASA(config-network-object)# nat (inside,outside) static 128.65.98.44 dnsPetes-ASA(config-network-object)# exitPetes-ASA(config)# write memBuilding configuration...Cryptochecksum: de650019 1f1583f7 70121512 e1d093e8 15724 bytes copied in 3.430 secs (5241 bytes/sec)Petes-ASA(config)#
Jak nastavím DNS Doctoring v ASDM?
testování DNS Doctoring
zde je příklad toho, co se stalo před nastavením DNS doctoring (nebo kde DNS doctoring nefunguje).
a jakmile je nakonfigurován, proveďte totéž a poznamenejte si rozdíl;
volba 2-hostitel v DMZ
proces je totožný s výše pouze tyčinky Nat jsou odlišné, tj.
Poznámka: předpokládám, že hostitel objektu již existuje, pokud ne, přidejte řádek modře.
Petes-ASA# configure terminal Petes-ASA(config)# object network Obj-Static-128.65.98.44Petes-ASA(config)# host 172.16.1.1Petes-ASA(config-network-object)# nat (DMZ,outside) static 128.65.98.44 dns
možnost 3-Split DNS
Windows-Nastavení Split DNS