¿Tiene una cuenta?
Este documento muestra cómo se utiliza DNS Doctoring en Adaptive Security Appliance (ASA) para cambiar las direcciones IP incrustadas en las respuestas del Sistema de nombres de dominio (DNS) de modo que los clientes puedan conectarse a la dirección IP correcta de los servidores.
La documentación de DNS requiere la configuración de la traducción de direcciones de red (NAT) en el ASA, así como la habilitación de la inspección de DNS.
La información en este documento se basa en Adaptive Security Appliance.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns ! policy-map global_policy class inspection_default inspect dns
En la Figura 1, el servidor DNS es controlado por el administrador local. El servidor DNS debe entregar una dirección IP privada, que es la dirección real asignada al servidor de aplicaciones. Esto permite al cliente local conectarse directamente al servidor de aplicaciones.
Desafortunadamente, el cliente remoto no puede acceder al servidor de aplicaciones con la dirección privada. Como resultado, DNS Doctoring se configura en el ASA para cambiar la dirección IP integrada dentro del paquete de respuesta DNS. Esto asegura que cuando el cliente remoto realiza una solicitud DNS para www.abc.com, la respuesta que obtiene es para la dirección traducida del servidor de aplicaciones. Sin la palabra clave DNS en la instrucción NAT, el cliente remoto intenta conectarse a 10.1.1.100, lo que no funciona porque esa dirección no se puede rutear en Internet.
nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns ! policy-map global_policy class inspection_default inspect dns
En la Figura 2, el servidor DNS es controlado por el ISP o un proveedor de servicios similar. El servidor DNS debe entregar la dirección IP pública, es decir, la dirección IP traducida del servidor de aplicaciones. Esto permite a todos los usuarios de Internet acceder al servidor de aplicaciones a través de Internet.
Desafortunadamente, el cliente local no puede acceder al servidor de aplicaciones con la dirección pública. Como resultado, DNS Doctoring se configura en el ASA para cambiar la dirección IP integrada dentro del paquete de respuesta DNS. Esto asegura que cuando el cliente local realiza una solicitud DNS para www.abc.com, la respuesta recibida es la dirección real del servidor de aplicaciones. Sin la palabra clave DNS en la sentencia NAT, el cliente local intenta conectarse a 198.51.100.100. Esto no funciona porque este paquete se envía al ASA, que descarta el paquete.
Considere una situación en la que hay redes que se superponen. En esta condición, la dirección 10.1.1.100 vive tanto en el lado remoto como en el local. Como resultado, debe realizar NAT en el servidor local para que el cliente remoto pueda acceder a él con la dirección IP 192.1.1.100. Para que esto funcione correctamente, se requiere la documentación DNS.
La documentación DNS no se puede realizar en esta función. La palabra clave DNS sólo se puede agregar al final de un objeto NAT o NAT de origen. La NAT doble no admite la palabra clave DNS. Hay dos configuraciones posibles y ambas fallan.
Error en la configuración 1: Si configura el resultado final, traduce 10.1.1.1 a 192.1.1.1, no sólo para el cliente remoto, sino para todos en Internet. Puesto que 192.1.1.1 no es enrutable por Internet, nadie en Internet puede acceder al servidor local.
nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT
Error en la configuración 2: Si configura la línea NAT de Doctorado DNS después de las dos líneas NAT necesarias, esto provoca una situación en la que la Doctorado DNS nunca funciona. Como resultado, el cliente remoto intenta acceder a www.abc.com con la dirección IP 10.1.1.100, que no funciona.
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns