我有一个客户,他有一台 Cisco ASA 5505 设备。我对这些设备一点都不熟悉。
客户端存在一个问题,它允许来自旧 DNS 服务器(10.236.72.100)的出站流量,但不允许来自新 DNS 服务器(10.236.72.3)的出站流量。
我目前在新服务器上有一个转发设置,以将 DNS 查询转发到旧服务器。
旧服务器 = Windows Server 2003 新服务器 = Windows Server 2008 R2
据我所知,问题出在 Cisco 设备上。有人能帮忙吗?
答案1
您的旧 DNS 服务器可能正在将请求转发到对象组中的某个 DNS 服务器dns_servers,并且此行允许
access-list inside_access_in extended permit object-group TCPUDP any object-group dns_servers eq domain
您的新服务器可能充当递归 DNS 服务器并尝试将请求直接发送到根名称服务器、TLD 服务器等。如果您希望新服务器的行为与旧服务器一样,请将其请求转发到此对象组中的某个服务器。
object-group network dns_servers
network-object host 10.1.224.10
network-object host 10.2.191.51
如果您希望新的 DNS 服务器作为递归服务器工作,请将此行添加到您的 ASA 配置中:
access-list inside_access_in extended permit object-group TCPUDP host 10.236.72.3 any eq domain
答案2
Windows 2008 的 TCP 窗口自动缩放存在问题,这会破坏使用连接跟踪的防火墙(几乎所有防火墙都这样做)。
此处描述了此问题及其修复方法