Сообщения без ответов | Активные темы Текущее время: 03 дек 2021, 07:58



Ответить на тему  [ 1 сообщение ] 
ASA DNS rewrite перестал работать 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 185
Привет. Внезапно перестал работать dns doctoring на asa. Имеется почтовик в dmz, bind там же, который отдает обратную зону 3.2.1.in-addr.arpa (сеть на инт outside)
Есть NAT:

object network MAIL
host 192.168.253.5
nat (DMZ,outside) static 1.2.3.4 dns

object network NS1
host 192.168.253.114
nat (DMZ,outside) static 1.2.3.5

и если dns rewrite вкключен, то при запросе у bind обратной зоный почтовика получаем вот такой ответ:
Код:
$ nslookup 1.2.3.4 1.2.3.5
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; connection timed out; trying next origin
;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN
;; connection timed out; no servers could be reached

Если убрать dns в нат, то все работает как надо.
Код:
$ nslookup 1.2.3.4
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
4.3.2.1.in-addr.arpa      name = mail.domain.com.

nslookup 1.2.3.5 1.2.3.5
Server:         1.2.3.5
Address:       1.2.3.5#53

5.3.2.1.in-addr.arpa      name = ns1.domain.com.




при этом в tcpdump на bind видно приходящие запросы от nslookup.
Код:
10:45:17.639302 IP (tos 0x0, ttl 56, id 24503, offset 0, flags [none], proto UDP (17), length 72)
    2.2.2.2.43046 > 192.168.253.114.53: [udp sum ok] 26253+ PTR? 5.253.168.192.in-addr.arpa. (44)
10:45:17.639745 IP (tos 0x0, ttl 64, id 40819, offset 0, flags [none], proto UDP (17), length 72)
    192.168.253.114.53 > 2.2.2.2.43046: [bad udp cksum f471!] 26253 Refused- q: PTR? 5.253.168.192.in-addr.arpa. 0/0/0 (44)


Это баг в асе или я что-то делаю не так?:


25 ноя 2021, 09:56
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ 1 сообщение ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot], Majestic-12 [Bot] и гости: 12


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB