Cisco ASA-DNS Doctoring

KB ID 0001113

Problem

Cisco DNS doctoring er en prosess som avskjærer EN DNS-responspakke når den kommer tilbake til nettverket, og endrer IP-adressen i svaret.

Hvorfor vil du gjøre dette? Vel, la oss si at du har en webserver på nettverket ditt, og dens offentlige IP er 111.111.111.111, OG PÅ LAN er den interne IP-adressen 192.168.1.100, dens offentlige DNS-navn, (ELLER URL) er www.yoursite.com. Nar en bruker skriver www.nettstedet ditt.com i nettleseren, VIL DNS svare med offentlig IP av 111.111.111.111, og IKKE IP-adressen dvs PÅ LAN (192.168.1.100). Klienten kan ikke sende trafikken ut av brannmuren, ‘hårnål’ det om 180 grader og sende trafikken inn igjen. Så det mislykkes. HVA DNS gjør er Å se ETTER DNS-responspakker som har 111.111.111.111 i dem og endrer ip-en i pakken dynamisk til 192.168.1.100.

Er det noen forutsetninger? BARE AT DNS-serveren som sender svaret, sender det svar om ASA, dvs. hvis DU har DIN EGEN DNS-server på stedet som serverer forespørselen (uten et fremadrettet oppslag eller et rottips). DA GÅR DNS-svaret ikke om ASA, så det kan ikke lege det. Dette skjer hvis du offentlig nettsted og ditt interne domene har samme navn, ELLER HVIS DNS-serveren din er autoritativ for et domene med EN IP-adresse utenfor nettverket ditt. For å løse det problemet er det best å sette Opp ‘Split DNS’

Windows Sette Opp Split DNS

Slik Konfigurerer DU DNS-Doctoring

hvis du leser innledningen, vet DU at DNS-svaret må gå gjennom brannmuren, og den offentlige IP-en som blir løst, må være på nettverket ditt. Dette kan enten være en vert på nettverket ditt med en offentlig IP, eller en vert i DMZ som har en offentlig IP (begge eksemplene er vist nedenfor).

 DNS Doctoring

det tar lengre tid å forklare HVA DNS doctoring er, enn det gjør å faktisk sette det opp. I hovedsak legger du bare til dns-søkeordet til slutten av den statiske nat-setningen for den interne verten til sin offentlige adresse.

Alternativ 1-DNS Doctoring for en vert på LAN

Dette er bare en en-til-en statisk nat med dns-søkeordet lagt til det, så bruk eksemplet ovenfor (til venstre), la oss ta en titt på Våre NATs.

Petes-ASA# show run nat!object network obj_any nat (inside,outside) dynamic interfaceobject network Obj-Static-128.65.98.44 nat (inside,outside) static 128.65.98.44

Du kan ha mye mer utgang, men dette forteller meg at det er en dynamisk NAT for all nettverkstrafikk (KLAPP alt til utvendig grensesnitt dynamisk). Og en statisk oversettelse for din interne vert, det er den vi må legge til dns-søkeordet til.

Petes-ASA# configure terminal Petes-ASA(config)# object network Obj-Static-128.65.98.44Petes-ASA(config-network-object)# nat (inside,outside) static 128.65.98.44 dnsPetes-ASA(config-network-object)# exitPetes-ASA(config)# write memBuilding configuration...Cryptochecksum: de650019 1f1583f7 70121512 e1d093e8 15724 bytes copied in 3.430 secs (5241 bytes/sec)Petes-ASA(config)# 

Hvordan Setter JEG OPP DNS Doctoring i ASDM?

DNS-Doctoring I ASDM

Testing AV DNS-Doctoring

her er et eksempel på hva som skjedde før VI satte OPP DNS-doctoring, (eller HVOR DNS-doctoring ikke fungerer).

test dns

og når det er konfigurert, gjør det samme og merk forskjellen;

DNS omdirigert

Alternativ 2 – Vert I DMZ

prosessen er identisk med over bare nat-stammene er forskjellige, dvs.

Merk: jeg antar at objektverten allerede eksisterer, hvis ikke legg deretter linjen I BLÅTT.

Petes-ASA# configure terminal Petes-ASA(config)# object network Obj-Static-128.65.98.44Petes-ASA(config)# host 172.16.1.1Petes-ASA(config-network-object)# nat (DMZ,outside) static 128.65.98.44 dns

Alternativ 3-Split DNS

Windows-Sette Opp Delt DNS

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.