web-dev-qa-db-ja.com

Cisco-NATにより、nslookupはローカルIPを返します

少し背景

LAN上にCisco871のパブリックIPに静的にNATされるサーバーがあります。トラフィックを分離するために、同じローカルサブネットの残りの部分は別のパブリックIPに静的にNATされます。私のドメインの信頼できるパブリックネームサーバーには、サーバーに関連する正しいレコードがすべてあります。また、情報は数週間前に世界の他の地域に完全に広まりました。

問題

サーバーと同じ物理LAN上の任意のマシンからドメインのnslookupを実行すると、サブネット(2つのサブネットがあります)に関係なく、パブリックIPではなくサーバーのローカルIPが返されます。 nslookupは、このネットワークの外部から実行されると、正しい(パブリック)IPを返します。

私がこれまでに知っていること

サーバーの静的NATを削除すると、問題が即座に解消されることを知っています(以下の構成の太線を参照)。DNSトラフィックまたはそのような性質のものにCBACを使用していません。同僚そして私はひどく困惑しています。

これが私の設定からの関連するスニペット(意図的に変更されたアドレス)です:

  • ip nat pool office 65.x.x.162 65.x.x.162 netmask 255.255.255.240
  • ipnatプールゲスト65.x.x.16465.x.x.164ネットマスク255.255.255.240
  • ソースリスト内のipnat1プールオフィスの過負荷
  • ソースリスト内のipnat2プールゲストの過負荷
  • ip nat inside source static tcp 192.168.1.1 22 interface FastEthernet4 41234
  • ip nat inside source static tcp 192.168.1.6922インターフェイスFastEthernet444321
  • ip nat inside source static tcp 192.168.1.123389インターフェイスFastEthernet451234
  • ip nat inside source static 192.168.1.9 65.x.x.16
  • access-list 1 permit 192.168.1.0 0.0.0.255
  • アクセスリスト1は任意を拒否します
  • access-list 2 permit 192.168.100.0 0.0.0.255
  • アクセスリスト2は任意を拒否します

誰かがこれが起こっている理由を理解するのを手伝ってくれませんか?

4
Berkus Aurelius

これは「DNSドクター」と呼ばれ、ローカルクライアントにNATアドレス:

NAT FAQ とリンク

IOSファイアウォールコード(PIXやASAによく似ています)はデフォルトでDNSを検査するため、これを行っています。無効にするには、「noinspectdns」を発行します。おそらくIOS静的NATの使用を開始すると、ファイアウォールの動作が始まります。

DNSDoctoringに関するPIX/ASAの詳細とのリンク

4
Geoff

dNS Doctoringを無効にするには、次のコマンドを試してください。

no ip nat service alg udp dns

4
K0T

DNS解決構造に関する情報を投稿することをお勧めします。たとえば、クライアント->サーバーA-> ISPA。サーバーのNATが解決のために使用される最後の内部DNSシステムが配置されている場合、「ループ」を作成しているようです。外部サーバーへの接続は、ISPではなくサーバーのパブリックIPを参照していますか?

少し明確にするために。 NATが設定されていない場合、ルーターは解決策を提供するか、ISPに転送します。ただし、NATを使用すると、トラフィックはサーバー自体に送り返されます。

0
Jeff Hengesbach