イントラネット環境におけるパブリックネットドメイン名がイントラネットアドレスに解析される問題
1136 ワード
ファイアウォールはデフォルトでdnsのalg機能をオンにし、ドメイン名サーバが応答するサーバのパブリックネットワークアドレスをクライアントに戻すことはなく、イントラネットワークアドレスだけを返します.
NATデバイスが外部ネットワークからのDNS対応メッセージに対してDNS ALG処理を行う場合、荷重にはドメイン名とアプリケーションサーバの外部ネットワークIPアドレスしか含まれていないため(転送プロトコルタイプとポート番号を含まない).インタフェース上に複数のNATサーバ構成が存在し、同じ外部ネットワークアドレスを使用して内部ネットワークアドレスが異なる場合、DNS ALGはIPアドレスのみを使用して内部サーバと整合すると、誤った整合結果が得られる可能性がある.そのため、DNS mappingの構成を利用して、ドメイン名とアプリケーションサーバの外部ネットワークIPアドレス、ポート、プロトコルのマッピングを指定する必要がある関係は、ドメイン名からアプリケーションサーバの外部ネットワークIPアドレス、ポート、プロトコルを取得し、さらに(現在のNATインタフェース上で)内部サーバ構成と正確に一致してアプリケーションサーバの内部ネットワークIPアドレスを取得する.
nat serverはポートマッピングをしていません
例えばnat server global 124.250.45.21 inside 10.16.8.220
ALG機能をオンにすると、ドメイン名サーバが返すパブリックネットワークアドレスのイントラネットワークアドレスエラーは発生しません.
nat serverポートマッピング
1つのパブリックアドレスが異なるポートで異なるイントラネットのアドレスに対応すると、イントラネットのアドレスが乱れてしまいます.パブリックネットワークは1つのパブリックアドレスを解析しているからですが、ファイアウォールnat serverを経由してイントラネットのアドレスが複数あると、イントラネットユーザーに返されるのはどれなのか分かりません.解決策はDNS mappingの構成です
転載先:https://blog.51cto.com/locker/1922465
NATデバイスが外部ネットワークからのDNS対応メッセージに対してDNS ALG処理を行う場合、荷重にはドメイン名とアプリケーションサーバの外部ネットワークIPアドレスしか含まれていないため(転送プロトコルタイプとポート番号を含まない).インタフェース上に複数のNATサーバ構成が存在し、同じ外部ネットワークアドレスを使用して内部ネットワークアドレスが異なる場合、DNS ALGはIPアドレスのみを使用して内部サーバと整合すると、誤った整合結果が得られる可能性がある.そのため、DNS mappingの構成を利用して、ドメイン名とアプリケーションサーバの外部ネットワークIPアドレス、ポート、プロトコルのマッピングを指定する必要がある関係は、ドメイン名からアプリケーションサーバの外部ネットワークIPアドレス、ポート、プロトコルを取得し、さらに(現在のNATインタフェース上で)内部サーバ構成と正確に一致してアプリケーションサーバの内部ネットワークIPアドレスを取得する.
nat serverはポートマッピングをしていません
例えばnat server global 124.250.45.21 inside 10.16.8.220
ALG機能をオンにすると、ドメイン名サーバが返すパブリックネットワークアドレスのイントラネットワークアドレスエラーは発生しません.
nat serverポートマッピング
1つのパブリックアドレスが異なるポートで異なるイントラネットのアドレスに対応すると、イントラネットのアドレスが乱れてしまいます.パブリックネットワークは1つのパブリックアドレスを解析しているからですが、ファイアウォールnat serverを経由してイントラネットのアドレスが複数あると、イントラネットユーザーに返されるのはどれなのか分かりません.解決策はDNS mappingの構成です
nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port http
nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp転載先:https://blog.51cto.com/locker/1922465