Subnets.ru

[plastilin]

Доброго времени суток. Есть задача настроить форвард днс запросов с Cisco на внутренний DNS сервер.

Имеем: внутренний адрес Cisco: 192.168.2.1
Внутренний адрес DNS сервера: 192.168.2.21

Конфигурируем:

Код: Выделить всё

ip name-server 192.168.2.21
ip domain-lookup
ip dns server
ip dns spoofing


Все работает, однако есть одна небольшая проблема, стали доступны рекурсивные запросы к ДНС серверу 192.168.2.21 через внешний интерфейс Cisco. Если отключить ip domain lookup - то клиеннтские запросы заканчиваются на Cisco. Как это закрыть?

[root]

DNS Spoofing

ip dns spoofing

To enable Domain Name System (DNS) spoofing, use the ip dns spoofing command in global configuration mode.
To disable DNS spoofing, use the no form of this command.

ip dns spoofing [ip-address]
no ip dns spoofing [ip-address]

Syntax Description
ip-address (Optional) IP address used in replies to DNS queries.

попробуй немного изменить команду:

Код: Выделить всё

ip dns spoofing 192.168.2.1

[plastilin]

Пробовал, тот же эффект.

[root]

расскажи как ты проверяешь

[plastilin]

Код: Выделить всё

dig @xxx.xxx.xxx.xxx subnets.ru A

Где ххх - внешний айпи на циске. Спрашиваю из-за серой сети, выдает ответ нормально.

[root]

ну ессно если ты это делаешь находясь в подсети 192.168.2.0/24, то ты получишь ответ.
ты попробуй сделать это извне, а не изнутри.

[plastilin]

Я то это и делаю извне как раз.

UPD. Я вот думаю что в этой ситуации нужно делать акцесс лист, запрещающий днс запросы и вешать его на все внешние интерфейсы, однако вопрос в том, как его правильно составить...

UPD2: Нашел пример разрешающего ACL

Код: Выделить всё

access-list 101 permit udp any any eq domain
access-list 101 permit udp any eq domain any

[root]

Я то это и делаю извне как раз.

тогда как понимать твою фразу:

Спрашиваю из-за серой сети

?

Я вот думаю что в этой ситуации нужно делать акцесс лист, запрещающий днс запросы и вешать его на все внешние интерфейсы

с ACL`ами будь аккуратнее, а то понавешаешь и тогда и твой DNS перестанет что либо отдавать, т.к. прежде чем он узнает где искомый домен он так же пошлет DNS запрос к внешнему DNS серверу.

что то ты явно не так делаешь, снова читаем, например тут:

ip dns spoofing [ip-address]
Example:
Router(config)# ip dns spoofing 192.168.15.1

Configures DNS spoofing.
•The router will respond to the DNS query with the configured ip-address when queried for any hostname other than its own.

•The router will respond to the DNS query with the IP address of the incoming interface when queried for its own hostname.

получается что если ты дал таки команду:

ip dns spoofing 192.168.2.1

то при рекурсивном запросе, твой роутер ответит с серого адреса и ответ до реальника из Инета точно никогда не дойдет.

вруби debug domain и посмотри что там происходит при запросе:

Код: Выделить всё

nslookup subnets.ru. xxx.xxx.xxx.xxx

Где ххх - внешний айпи на циске.

[plastilin]

Из-за серой сети имелось ввиду, что запросы идут из за НАТ, но из совершенно другой сети никак не связанной с Cisco. Честно говоря я уже и незнаю куда копать.

А может в этом ответ?

This feature is useful for devices where the interface toward the Internet service provider (ISP) is not up. Once the interface to the ISP is up, the router forwards DNS queries to the real DNS servers.

[root]

А может в этом ответ?

что то я не вижу в этой строке никакого ответа

ты дебаг посмотрел ? что в нем ?