Привет. Внезапно перестал работать dns doctoring на asa. Имеется почтовик в dmz, bind там же, который отдает обратную зону 3.2.1.in-addr.arpa (сеть на инт outside)
Есть NAT:
object network MAIL
host 192.168.253.5
nat (DMZ,outside) static 1.2.3.4 dns
object network NS1
host 192.168.253.114
nat (DMZ,outside) static 1.2.3.5
и если dns rewrite вкключен, то при запросе у bind обратной зоный почтовика получаем вот такой ответ:
Код:
$ nslookup 1.2.3.4 1.2.3.5
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; connection timed out; trying next origin
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; connection timed out; no servers could be reached
Если убрать dns в нат, то все работает как надо.
Код:
$ nslookup 1.2.3.4
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
4.3.2.1.in-addr.arpa name = mail.domain.com.
nslookup 1.2.3.5 1.2.3.5
Server: 1.2.3.5
Address: 1.2.3.5#53
5.3.2.1.in-addr.arpa name = ns1.domain.com.
при этом в tcpdump на bind видно приходящие запросы от nslookup.
Код:
10:45:17.639302 IP (tos 0x0, ttl 56, id 24503, offset 0, flags [none], proto UDP (17), length 72)
2.2.2.2.43046 > 192.168.253.114.53: [udp sum ok] 26253+ PTR? 5.253.168.192.in-addr.arpa. (44)
10:45:17.639745 IP (tos 0x0, ttl 64, id 40819, offset 0, flags [none], proto UDP (17), length 72)
192.168.253.114.53 > 2.2.2.2.43046: [bad udp cksum f471!] 26253 Refused- q: PTR? 5.253.168.192.in-addr.arpa. 0/0/0 (44)
Это баг в асе или я что-то делаю не так?: