我遇到了一个问题,即网络中驻留在Cisco ASA中的客户端可能会在不存在的DNS服务器上查询查询。
ASA版本8.4(2)
主机名ciscoasa 名称
接口Ethernet0 / 0 switchport access vlan 2
接口Ethernet0 / 1
接口Ethernet0 / 2
接口Ethernet0 / 3
接口Ethernet0 / 4
接口Ethernet0 / 5
接口Ethernet0 / 6
接口Ethernet0 / 7
接口Vlan1 里面的名字 安全级别100 IP地址210.0.2.9 255.255.255.252
接口Vlan2 外面的名字 安全级别0 IP地址210.0.2.2 255.255.255.252
对象网络里面 主持人210.0.2.10 对象网络外 主持人210.0.2.1
路线外0.0.0.0 0.0.0.0 210.0.2.1 1 路线0.0.0.0 0.0.0.0 210.0.2.10 1
access-list IN-OUT扩展许可tcp任何eq www
access-list IN-OUT扩展许可tcp任何eq域
access-list IN-OUT扩展许可tcp任何eq smtp
access-list IN-OUT扩展许可tcp任何eq pop3
access-list IN-OUT扩展许可udp任何eq域
access-list IN-OUT扩展允许icmp任何
access-list OUT-Server扩展许可tcp任何eq域
access-list OUT-Server扩展许可tcp任何eq smtp
access-list OUT-Server扩展许可tcp任何eq pop3
access-list OUT-Server扩展许可udp任何eq域
access-list OUT-Server扩展允许icmp任何
中的接口组IN-OUT
访问组外部接口中的OUT-Server
中的访问组IN-OUT输出接口
access-group OUT-Server out interface
telnet超时5 ssh timeout 5
感谢您收看我的写作。
答案 0 :(得分:0)
你的问题似乎有些模糊。您是否试图强制客户端访问特定的DNS服务器?如果是这种情况,您需要修改ACL,允许“域”流量到“任何”服务器。
您需要在UDP / TCP端口53上添加对特定服务器的访问权限。(主要是UDP,但是,TCP用于区域传输,有效负载超过512字节)。