前幾天遇到個問題,在論壇發了個帖子(http://bbs.51cto.com/thread-788431-1.html),頂帖之人實在太少,不過還是要謝謝51CTO論壇裏和羣裏的朋友的幫助。由於這幾天比較忙,怕朋友們等太久所以今天剛忙完就找客戶解決這個問題,好在不是太難辦,很快就解決了,呵呵。現分享給大家。
原配置(部分):
access-list acl-out extended permit tcp any interface outside eq www
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface www 192.168.30.2 www netmask 255.255.255.255 dns
access-group acl-out in interface outside
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
問題解決後配置(部分):
access-list acl-out extended permit tcp any interface outside eq www
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) interface 192.168.30.2 netmask 255.255.255.255 dns
access-group acl-out in interface outside
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
有沒有發現什麼不同?
對了,不同之處就在於static語句,根據cisco資料顯示,DNS重寫不能應用在基於靜態端口映射(PAT)的服務器上,因爲這樣會使DNS A記錄含糊不清。
還有一種技術叫髮夾技術,也可以解決這個問題,比上面的複雜一點點,還沒做實驗,這裏就不寫了。
附cisco參考資料(特別感謝分享資料的“linux學習中”祝他11月份的IE考試順利通過,非常感謝!)