一个非常牛逼的DNS解析的问题
2019-07-07 20:45:27
一个非常牛逼的TOP
ISP----Cisco 2911----网康NF3000—2960—cisco asa 5525—csico 3750----asa5515—PC
现在的问题是PC ping IP地址没有问题,ping域名不通,一开始就考虑是否是网康防火墙的问题,配置了禁止DNS的策略。可是策略全开,为了排除问题,每个设备都进行抓包
这个是PC的抓包,ping www.163.com 只有去包,没有回包
这个是CISCO 防火墙,还是只有去包没有回包
网康的依然如故
搞了一个晚上,脑袋懵逼了,都没有发现问题所在,第二天在家里带娃,洗衣服,做饭累成狗。却突然灵光一闪,我反向抓包,都转入口的包,结果发现下面的包
DNS发出去的包 都被10.10.31.33这个地址替换掉了,其实第一天就发现这个问题了,当时没有在意,这次再次从头开始抓包就发现问题所在了,这个说明问题就出在这个地址上
这个地址就是网康防火墙本身的地址。 可是DNS策略都是放行的。
后来找到了一个DNS代理的东西,关闭DNS代理然后就正常了。后来想了想还是防火墙太多的原因,10.10.31.33本身不允许上网,于是代理DNS的包到这里就发不出来。当然不能解析
禁用DNS代理后,正常解析的包
评论(0)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
