Назад | Перейти на главную страницу

Cisco ASA блокирует трафик с DNS-сервера

У меня есть клиент, у которого есть устройство Cisco ASA 5505. Я вообще не знаком с этими устройствами.

Проблема клиента заключается в том, что он разрешает исходящий трафик со старого DNS-сервера (10.236.72.100), но не с нового DNS-сервера (10.236.72.3).

В настоящее время у меня есть настройка пересылки на новом сервере для пересылки DNS-запросов на старый сервер.

Старый сервер = Windows Server 2003 Новый сервер = Windows Server 2008 R2

Насколько я могу судить, проблема связана с устройством Cisco. Может кто-нибудь помочь?

Ваш старый DNS-сервер, вероятно, пересылает запросы на один из DNS-серверов в dns_servers группа объектов и разрешенная этой строкой

access-list inside_access_in extended permit object-group TCPUDP any object-group dns_servers eq domain 

Ваш новый сервер, вероятно, действует как рекурсивный DNS-сервер и пытается отправлять запросы напрямую на корневые серверы имен, серверы TLD и т. Д. Если вы хотите, чтобы ваш новый сервер вел себя как старый, перенаправьте его запросы на один из серверов в этом группа объектов.

object-group network dns_servers
 network-object host 10.1.224.10
 network-object host 10.2.191.51

Если вы хотите, чтобы ваш новый DNS-сервер работал как рекурсивный сервер, добавьте эту строку в конфигурацию ASA:

access-list inside_access_in extended permit object-group TCPUDP host 10.236.72.3 any eq domain 

В Windows 2008 есть проблема с автоматическим масштабированием окна TCP, которая нарушает работу брандмауэров, использующих отслеживание соединений (почти все это делают).

Проблема и способ ее устранения описаны здесь.

https://blogs.msdn.com/b/wndp/archive/2007/07/05/receive-window-auto-tuning-on-vista.aspx?Redirected=true