我有一个拥有Cisco ASA 5505设备的客户端。 我根本不熟悉这些设备。
客户端有一个问题,它允许来自旧的DNS服务器(10.236.72.100)的stream量出站,但不能从新的DNS服务器(10.236.72.3)stream出。
我目前在新服务器上有一个转发设置,用于将DNS查询转发到旧服务器。
旧服务器= Windows Server 2003新服务器= Windows Server 2008 R2
据我所知,问题在于思科设备。 有人可以帮忙吗?
您的旧DNS服务器可能将请求转发到dns_servers对象组中的一个DNS服务器,并被该行允许
access-list inside_access_in extended permit object-group TCPUDP any object-group dns_servers eq domain
您的新服务器可能充当recursionDNS服务器,并尝试直接向根名称服务器,TLD服务器等发送请求。如果您希望新服务器的行为与旧服务器类似,请将其请求转发给此服务器中的一台对象组。
object-group network dns_servers network-object host 10.1.224.10 network-object host 10.2.191.51
如果您希望新的DNS服务器作为recursion服务器工作,请将此行添加到您的ASAconfiguration中:
access-list inside_access_in extended permit object-group TCPUDP host 10.236.72.3 any eq domain
Windows 2008有一个TCP窗口自动缩放的问题,它打破了使用连接跟踪的防火墙(几乎都是这样)。
这个问题和解决方法在这里描述