У меня есть ASA 5515 в качестве межсетевого экрана. Это не позволяет мне выполнять поиск NS с любых внутренних DNS-серверов или клиентов. Если я установлю для своего сервера nslookup значение 8.8.8.8 (google DNS), я могу разрешить общедоступные DNS-имена. Если я во внутренней сети, ломается.
В моем ASA есть следующее:
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 8192
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect pptp
inspect ipsec-pass-thru
inspect icmp
inspect dns preset_dns_map
Есть идеи, почему он не работает?
Согласно упомянутым примечаниям, когда вы отправляете DNS-запрос внутри, проходит ли он через брандмауэр или нет. Если он запускает пакет для соответствующего трафика, и посмотрите, сбрасывается ли трафик на каком-либо этапе. Если по какой-либо причине ASA отбрасывает трафик, соберите выходные данные захвата ASP. Захват ASP поможет нам изолировать причину, по которой ASA отбрасывает пакет.