我的互联网防火墙是 ASA 5515。它不允许我从任何内部 DNS 服务器或客户端执行 NS 查找。如果我将 nslookup 服务器设置为 8.8.8.8(谷歌 DNS),我可以解析公共 DNS 名称。如果我在内部网络上,就会中断。
我的 ASA 中有以下内容:
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 8192
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect pptp
inspect ipsec-pass-thru
inspect icmp
inspect dns preset_dns_map
关于它为什么不起作用有什么想法吗?
答案1
根据上述说明,当您在内部发送 DNS 查询时,它是否会通过防火墙。如果是,则针对相关流量运行数据包,并查看流量是否在任何阶段被丢弃。如果由于任何原因 ASA 丢弃流量,请收集 ASP 捕获的输出。ASP 捕获将帮助我们找出 ASA 丢弃数据包的原因。