-2

我遇到了一个问题,即位于 Cisco ASA 内的网络上的客户端可以查询不存在的 DNS 服务器上的查询。

ASA 版本 8.4(2)

主机名 ciscoasa 名称

接口 Ethernet0/0 交换机端口访问 vlan 2

接口以太网0/1

接口以太网0/2

接口以太网0/3

接口以太网0/4

接口以太网0/5

接口以太网0/6

接口以太网0/7

interface Vlan1 nameif inside security-level 100 ip address 210.0.2.9 255.255.255.252

interface Vlan2 nameif 在安全级别 0 之外 ip 地址 210.0.2.2 255.255.255.252

主机 210.0.2.10 内的对象网络 主机 210.0.2.1 外的对象网络

0.0.0.0 外部路线 0.0.0.0 210.0.2.1 1 0.0.0.0 内部路线 0.0.0.0 210.0.2.10 1

访问列表 IN-OUT 扩展许可 tcp any any eq www

访问列表 IN-OUT 扩展允许 tcp 任何任何 eq 域

访问列表 IN-OUT 扩展许可 tcp 任何任何 eq smtp

访问列表 IN-OUT 扩展许可 tcp 任何任何 eq pop3

访问列表 IN-OUT 扩展允许 udp 任何任何 eq 域

访问列表 IN-OUT 扩展许可 icmp 任何 任何

访问列表 OUT-Server 扩展允许 tcp 任何任何 eq 域

access-list OUT-Server 扩展 permit tcp any any eq smtp

访问列表 OUT-Server 扩展许可 tcp 任何任何 eq pop3

访问列表 OUT-Server 扩展允许 udp 任何任何 eq 域

访问列表 OUT-Server 扩展许可 icmp 任何 任何

access-group IN-OUT in interface inside

access-group OUT-Server in interface outside

access-group IN-OUT out 接口 inside

access-group OUT-Server out接口外

telnet 超时 5 ssh 超时 5

谢谢你看我的文。

4

1 回答 1

0

你的问题似乎有些模糊。您是否试图强制客户端访问特定的 DNS 服务器?如果是这种情况,您需要修复允许“域”流量到“任何”服务器的 ACL。

您需要在 UDP/TCP 端口 53 上添加对特定服务器的访问。(通常是 UDP,但是,TCP 用于区域传输和超过 512 字节的有效负载)。

于 2017-02-16T13:27:31.273 回答