DNS Doctoring On ASA Configuration Example
Introduksjon
dette dokumentet viser hvordan DNS Doctoring brukes på ADAPTIVE Security Appliance (ASA) for å endre de innebygde IP-adressene i DNS-svar (Domain Name System) slik at klienter kan koble til riktig IP-adresse for servere.
Forutsetninger
Krav
DNS-Doctoring krever konfigurasjon Av Network Address Translation (Nat) på ASA, samt aktivering AV DNS-inspeksjonen.
Brukte Komponenter
informasjonen i dette dokumentet er basert på Adaptive Security Appliance.
informasjonen i dette dokumentet ble opprettet fra enhetene i et bestemt laboratoriemiljø. Alle enhetene som ble brukt i dette dokumentet, startet med en ryddet (standard) konfigurasjon. Hvis nettverket ditt er live, må du sørge for at du forstår den potensielle effekten av en kommando.
Konvensjoner
Se Cisco Technical Tips-Konvensjoner for mer informasjon om dokumentkonvensjoner.
EKSEMPLER PÅ DNS-Doctoring
DNS-Server På INNSIDEN AV ASA
Figur 1
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns
I Figur 1 styres DNS-serveren av den lokale administratoren. DNS-serveren skal dele ut en privat IP-adresse, som er den virkelige IP-adressen som er tildelt applikasjonsserveren. Dette gjør at den lokale klienten kan koble direkte til applikasjonsserveren.
dessverre får ikke den eksterne klienten tilgang til applikasjonsserveren med den private adressen. SOM et resultat ER DNS Doctoring konfigurert PÅ ASA for å endre den innebygde IP-adressen i DNS-responspakken. Dette sikrer at når den eksterne klienten gjør EN DNS-forespørsel om www.abc.com, svaret de får er for den oversatte adressen til applikasjonsserveren. Uten DNS-nøkkelordet I nat-setningen prøver den eksterne klienten å koble til 10.1.1.100, som ikke fungerer fordi adressen ikke kan rutes på internett.
DNS-Server På UTSIDEN av ASA
Figur 2
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns
I Figur 2 styres DNS-serveren av ISP eller lignende tjenesteleverandør. DNS-serveren skal dele ut den offentlige IP-adressen, det vil si den oversatte IP-adressen til applikasjonsserveren. Dette tillater alle internett-brukere å få tilgang til applikasjonsserveren via internett.
dessverre får ikke den lokale klienten tilgang til applikasjonsserveren med den offentlige adressen. SOM et resultat ER DNS Doctoring konfigurert PÅ ASA for å endre den innebygde IP-adressen i DNS-responspakken. Dette sikrer at når den lokale klienten gjør EN DNS-forespørsel om www.abc.com, er svaret mottatt den virkelige adressen til applikasjonsserveren. UTEN DNS-nøkkelordet I nat-setningen prøver den lokale klienten å koble til 198.51.100.100. Dette virker ikke fordi denne pakken sendes TIL ASA, som faller pakken.
VPN NAT Og DNS Doctoring
Figur 3
Tenk på en situasjon der det er nettverk som overlapper. I denne tilstanden lever adressen 10.1.1.100 på både den eksterne siden og den lokale siden. Som et resultat må DU utføre NAT på den lokale serveren slik at den eksterne klienten fortsatt kan få tilgang TIL DEN MED IP-adressen 192.1.1.100. FOR å få DETTE til å fungere skikkelig, ER DNS Doctoring nødvendig.
DNS-Doctoring kan ikke utføres i denne funksjonen. DNS-søkeordet kan bare legges til slutten av et objekt NAT eller kilde NAT. Den to GANGER NAT støtter IKKE DNS-søkeordet. Det er to mulige konfigurasjoner, og begge mislykkes.
Mislykket Konfigurasjon 1: Hvis du konfigurerer bunnlinjen, oversetter den 10.1.1.1 til 192.1.1.1, ikke bare for den eksterne klienten, men for alle på internett. Siden 192.1.1.1 er ikke internett rutbar, ingen på internett kan få tilgang til den lokale serveren.
nat (inside,outside) source static 10.1.1.100 192.168.1.100 dnsnat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT
Mislykket Konfigurasjon 2: hvis DU konfigurerer DNS-Doctoring nat-linjen etter den nødvendige to GANGER nat-linjen, forårsaker DETTE en situasjon DER DNS-Doctoring aldri fungerer. Som et resultat forsøker den eksterne klienten å få tilgang til www.abc.com MED IP-adressen 10.1.1.100, som ikke fungerer.
Leave a Reply