Anticisco https://anticisco.ru/forum/ |
|
ASA DNS rewrite перестал работать https://anticisco.ru/forum/viewtopic.php?f=2&t=11645 |
Страница 1 из 1 |
Автор: | kert [ 25 ноя 2021, 09:56 ] |
Заголовок сообщения: | ASA DNS rewrite перестал работать |
Привет. Внезапно перестал работать dns doctoring на asa. Имеется почтовик в dmz, bind там же, который отдает обратную зону 3.2.1.in-addr.arpa (сеть на инт outside) Есть NAT: object network MAIL host 192.168.253.5 nat (DMZ,outside) static 1.2.3.4 dns object network NS1 host 192.168.253.114 nat (DMZ,outside) static 1.2.3.5 и если dns rewrite вкключен, то при запросе у bind обратной зоный почтовика получаем вот такой ответ: Код: $ nslookup 1.2.3.4 1.2.3.5 ;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN ;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN ;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN ;; connection timed out; trying next origin ;; Question section mismatch: got 5.253.168.192.in-addr.arpa/PTR/IN ;; connection timed out; no servers could be reached Если убрать dns в нат, то все работает как надо. Код: $ nslookup 1.2.3.4 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: 4.3.2.1.in-addr.arpa name = mail.domain.com. nslookup 1.2.3.5 1.2.3.5 Server: 1.2.3.5 Address: 1.2.3.5#53 5.3.2.1.in-addr.arpa name = ns1.domain.com. при этом в tcpdump на bind видно приходящие запросы от nslookup. Код: 10:45:17.639302 IP (tos 0x0, ttl 56, id 24503, offset 0, flags [none], proto UDP (17), length 72) 2.2.2.2.43046 > 192.168.253.114.53: [udp sum ok] 26253+ PTR? 5.253.168.192.in-addr.arpa. (44) 10:45:17.639745 IP (tos 0x0, ttl 64, id 40819, offset 0, flags [none], proto UDP (17), length 72) 192.168.253.114.53 > 2.2.2.2.43046: [bad udp cksum f471!] 26253 Refused- q: PTR? 5.253.168.192.in-addr.arpa. 0/0/0 (44) Это баг в асе или я что-то делаю не так?: |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |