Cisco ASA 不允许 DNS 流量通过?

Cisco ASA 不允许 DNS 流量通过?

我的互联网防火墙是 ASA 5515。它不允许我从任何内部 DNS 服务器或客户端执行 NS 查找。如果我将 nslookup 服务器设置为 8.8.8.8(谷歌 DNS),我可以解析公共 DNS 名称。如果我在内部网络上,就会中断。

我的 ASA 中有以下内容:

policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 8192
policy-map global_policy
 class inspection_default
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect ip-options 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
  inspect pptp 
  inspect ipsec-pass-thru 
  inspect icmp 
  inspect dns preset_dns_map 

关于它为什么不起作用有什么想法吗?

答案1

根据上述说明,当您在内部发送 DNS 查询时,它是否会通过防火墙。如果是,则针对相关流量运行数据包,并查看流量是否在任何阶段被丢弃。如果由于任何原因 ASA 丢弃流量,请收集 ASP 捕获的输出。ASP 捕获将帮助我们找出 ASA 丢弃数据包的原因。

相关内容