Articles /

DNS Doctoring on Asa Configuration Example

Bevezetés

ez a dokumentum bemutatja, hogyan DNS Doctoring használják az Adaptive Security Appliance (Asa) változtatni a beágyazott IP-címeket Domain Name System (DNS) válaszokat, hogy az ügyfelek tud csatlakozni a megfelelő IP-címet a szerverek.

előfeltételek

követelmények

a DNS-Doktoráláshoz a hálózati címfordítás (Nat) konfigurálása szükséges az ASA-n, valamint a DNS-ellenőrzés engedélyezése.

felhasznált összetevők

az ebben a dokumentumban szereplő információk az Adaptive Security Appliance-en alapulnak.

az ebben a dokumentumban szereplő információkat egy adott laboratóriumi környezetben lévő eszközökről hozták létre. A dokumentumban használt összes eszköz törölt (alapértelmezett) konfigurációval indult. Ha a hálózat élő, győződjön meg róla, hogy megértette a parancsok lehetséges hatását.

egyezmények

lásd Cisco Technical Tips egyezmények további információt dokumentum egyezmények.

DNS Doctoring példák

DNS szerver belsejében ASA

ábra 1

dns-doctoring-asa-config-01.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns

az 1. ábrán a DNS-kiszolgálót a helyi rendszergazda vezérli. A DNS-kiszolgálónak ki kell adnia egy privát IP-címet, amely az alkalmazáskiszolgálóhoz rendelt valódi IP-cím. Ez lehetővé teszi a helyi ügyfél számára, hogy közvetlenül csatlakozzon az alkalmazáskiszolgálóhoz.

sajnos a távoli kliens nem tud hozzáférni az alkalmazáskiszolgálóhoz a privát címmel. Ennek eredményeként a DNS-Doktorálás úgy van konfigurálva az ASA-n, hogy megváltoztassa a beágyazott IP-címet a DNS-válaszcsomagban. Ez biztosítja, hogy amikor a távoli ügyfél DNS-kérelmet nyújt be www.abc.com, a kapott válasz az alkalmazáskiszolgáló lefordított címére vonatkozik. A NAT utasítás DNS-kulcsszója nélkül a távoli ügyfél megpróbál csatlakozni a 10.1.1.100-hoz, ami nem működik, mert ezt a címet nem lehet továbbítani az interneten.

DNS-kiszolgáló az ASA külső oldalán

ábra 2

dns-doctoring-asa-config-02.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns

a 2. ábrán a DNS-kiszolgálót az internetszolgáltató vagy hasonló szolgáltató vezérli. A DNS-kiszolgálónak ki kell adnia a nyilvános IP-címet, vagyis az alkalmazáskiszolgáló lefordított IP-címét. Ez lehetővé teszi, hogy minden internet-felhasználó hozzáférjen az alkalmazáskiszolgálóhoz az Interneten keresztül.

sajnos a helyi kliens nem tud hozzáférni az alkalmazáskiszolgálóhoz a nyilvános címmel. Ennek eredményeként a DNS-Doktorálás úgy van konfigurálva az ASA-n, hogy megváltoztassa a beágyazott IP-címet a DNS-válaszcsomagban. Ez biztosítja, hogy amikor a helyi ügyfél DNS-kérelmet nyújt be www.abc.com, a kapott válasz az alkalmazáskiszolgáló valós címe. A NAT utasítás DNS-kulcsszója nélkül a helyi ügyfél megpróbál csatlakozni a 198.51.100.100-hoz. Ez nem működik, mert ezt a csomagot elküldik az ASA-nak, amely eldobja a csomagot.

VPN NAT és DNS Doctoring

ábra 3

dns-doctoring-asa-config-03.gif

Vegyünk egy olyan helyzetet, ahol vannak olyan hálózatok, amelyek átfedik egymást. Ebben az állapotban a 10.1.1.100 cím mind a távoli, mind a helyi oldalon él. Ennek eredményeként végre kell hajtania a NAT-ot a helyi kiszolgálón, hogy a távoli kliens továbbra is hozzáférhessen a 192.1.1.100 IP-címmel. Annak érdekében, hogy ez megfelelően működjön, DNS Doctoring szükséges.

a DNS-Doktorálás nem hajtható végre ebben a funkcióban. A DNS kulcsszót csak egy objektum végéhez lehet hozzáadni NAT vagy forrás NAT. A kétszer NAT nem támogatja a DNS kulcsszót. Két lehetséges konfiguráció létezik, és mindkettő sikertelen.

Sikertelen Konfiguráció 1: Ha konfigurálja az alsó sort, akkor a 10.1.1.1-től 192.1.1.1-ig fordul, nem csak a távoli ügyfél számára, hanem mindenki számára az interneten. Mivel a 192.1.1.1 nem irányítható az interneten, az interneten senki sem férhet hozzá a helyi szerverhez.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dnsnat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT

sikertelen konfiguráció 2: Ha a DNS Doctoring NAT sort a szükséges kétszer NAT sor után konfigurálja, ez olyan helyzetet okoz, amikor a DNS Doctoring soha nem működik. Ennek eredményeként a távoli ügyfél megpróbál hozzáférni www.abc.com a 10.1.1.100 IP-címmel, amely nem működik.

Leave a Reply