Cisco ASA – DNS Doctoring

KB ID 0001113

ongelma

Cisco DNS doctoring on prosessi, joka sieppaa DNS-vastauspaketin sen tullessa takaisin verkkoon ja muuttaa IP-osoitetta vastauksessa.

miksi haluaisit tehdä näin? No sanotaan sinulla on web-palvelin verkossa, ja sen julkinen IP on 111.111.111.111, ja lähiverkon sen sisäinen IP-osoite on 192.168.1.100, sen julkinen DNS nimi, (tai URL) on www.yoursite.com. kun käyttäjä kirjoittaa www.sinun paikkasi.com selaimeensa, DNS vastaa julkinen IP 111.111.111.111, eikä IP-osoite thats Oman LAN (192.168.1.100). Asiakas ei voi lähettää liikennettä palomuurista, ’hiusneula’ se vaikka 180 astetta ja lähettää liikenteen takaisin sisään. Se siis epäonnistuu. Mitä DNS tekee on etsiä DNS vastaus paketteja, jotka ovat 111.111.111.111 niitä ja dynaamisesti muuttaa IP paketin 192.168.1.100.

onko edellytyksiä? Vain että DNS-palvelin lähettää vastauksen lähettää sen vastauksen vaikka ASA, ts. jos sinulla on oma DNS-palvelin paikan päällä, joka palvelee pyynnön (ilman eteenpäin hakua tai root vihje). sitten DNS vastaus ei mene vaikka ASA, joten se ei voi lääkäri sitä. Tämä tapahtuu, jos julkinen sivusto ja sisäinen verkkotunnus on sama nimi, tai jos DNS-palvelin on arvovaltainen verkkotunnuksen IP-osoite verkon ulkopuolella. Voit ratkaista tämän ongelman paras veto on setup ’Split DNS’

Windows perustamalla Split DNS

miten Setup DNS Doctoring

jos luet johdanto tiedät, että DNS vastaus on mennä vaikka palomuuri, ja julkinen IP, joka saa ratkaistu on oltava verkossa. Tämä voi olla joko isäntä verkossa julkinen IP, tai isäntä DMZ, joka on julkinen IP (molemmat esimerkit ovat alla).

DNS Doctoring

DNS doctoringin selittäminen kestää kauemmin kuin sen perustaminen. Pohjimmiltaan voit yksinkertaisesti lisätä’ dns ’ avainsanan loppuun staattinen Nat lausuman sisäisen isännän sen julkinen osoite.

vaihtoehto 1-DNS Doctoring isännän LAN

tämä on yksinkertaisesti yksi-To-one staattinen nat dns avainsanan lisätty siihen, joten käyttämällä yllä olevaa esimerkkiä (vasemmalla), lets katsomaan meidän NATs.

Petes-ASA# show run nat!object network obj_any nat (inside,outside) dynamic interfaceobject network Obj-Static-128.65.98.44 nat (inside,outside) static 128.65.98.44

sinulla voi olla paljon enemmän ulostuloa, mutta tämä kertoo minulle theres dynaaminen NAT kaikille verkkoliikenteen (PAT kaiken ulkopuolella käyttöliittymä dynaamisesti). Ja staattinen käännös sisäinen isäntä, se on yksi meidän täytyy lisätä dns avainsanan.

Petes-ASA# configure terminal Petes-ASA(config)# object network Obj-Static-128.65.98.44Petes-ASA(config-network-object)# nat (inside,outside) static 128.65.98.44 dnsPetes-ASA(config-network-object)# exitPetes-ASA(config)# write memBuilding configuration...Cryptochecksum: de650019 1f1583f7 70121512 e1d093e8 15724 bytes copied in 3.430 secs (5241 bytes/sec)Petes-ASA(config)# 

miten perustan DNS Doctoring ASDM?

DNS Doctoring In ASDM

Testing DNS Doctoring

Heres an example of what happened before we setup DNS doctoring, (or where DNS doctoring is not working).

testaa dns

ja kun se on määritetty tee sama ja huomaa ero;

DNS uudelleenohjattu

Vaihtoehto 2 – isäntä DMZ: ssä

prosessi on sama kuin edellä vain natin heteet ovat erilaiset, eli

Huom: oletan, että kohdeisäntä on jo olemassa, jos ei sitten lisätä viiva sinisellä.

Petes-ASA# configure terminal Petes-ASA(config)# object network Obj-Static-128.65.98.44Petes-ASA(config)# host 172.16.1.1Petes-ASA(config-network-object)# nat (DMZ,outside) static 128.65.98.44 dns

vaihtoehto 3-Split DNS

Windows-asetus Split DNS

Vastaa

Sähköpostiosoitettasi ei julkaista.