-2

Cisco ASA 内に存在するネットワーク上のクライアントが、存在しない DNS サーバでクエリを実行できる可能性があるという問題に遭遇しました。

ASA バージョン 8.4(2)

ホスト名 ciscoasa 名

インターフェイス Ethernet0/0 スイッチポート アクセス VLAN 2

インターフェイス Ethernet0/1

インターフェイス Ethernet0/2

インターフェイス Ethernet0/3

インターフェイス Ethernet0/4

インターフェイス Ethernet0/5

インターフェイス Ethernet0/6

インターフェイス Ethernet0/7

interface Vlan1 nameif inside security-level 100 IP アドレス 210.0.2.9 255.255.255.252

interface Vlan2 nameif outside security-level 0 IP アドレス 210.0.2.2 255.255.255.252

ホスト内のオブジェクト ネットワーク 210.0.2.10 ホスト外のオブジェクト ネットワーク 210.0.2.1

外側のルート 0.0.0.0 0.0.0.0 210.0.2.1 1 内側のルート 0.0.0.0 0.0.0.0 210.0.2.10 1

access-list IN-OUT 拡張許可 tcp any any eq www

access-list IN-OUT 拡張 permit tcp any any eq domain

access-list IN-OUT 拡張許可 tcp any any eq smtp

access-list IN-OUT 拡張 permit tcp any any eq pop3

access-list IN-OUT 拡張許可 udp any any eq domain

access-list IN-OUT 拡張許可 icmp any any

access-list OUT-Server 拡張許可 tcp any any eq domain

access-list OUT-Server 拡張許可 tcp any any eq smtp

access-list OUT-Server 拡張許可 tcp any any eq pop3

access-list OUT-Server 拡張許可 udp any any eq domain

access-list OUT-Server 拡張許可 icmp any any

インターフェイス内部のアクセス グループ IN-OUT

access-group OUT-Server in interface outside

access-group IN-OUT out インターフェイス内部

access-group OUT-Server out interface outside

telnet タイムアウト 5 ssh タイムアウト 5

私の書き込みを見ていただきありがとうございます。

4

1 に答える 1

0

あなたの質問はやや漠然としているようです。クライアントに特定の DNS サーバーへのアクセスを強制しようとしていますか? その場合は、ACL を修正して、「任意の」サーバーへの「ドメイン」トラフィックを許可する必要があります。

UDP/TCP ポート 53 で特定のサーバーへのアクセスを追加する必要があります (ほとんどは UDP ですが、TCP はゾーン転送と 512 バイトを超えるペイロードに使用されます)。

于 2017-02-16T13:27:31.273 に答える