每隔几分钟,我们的 Cisco ASA 5505 防火墙就会记录我有限的 Cisco 经验无法弄清楚的错误。
Severity Date Time Syslog ID Source IP Destination IP Description
3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3)
3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3)
记录的内部 IP 是我们的内部 DNS 服务器,外部 IP 是 Google 的公共 DNS 服务器,我们在本地 BIND 配置中将其用作转发器。ICMP Type 3 Code 3 的意思是“端口不可达”。
启用“检查 DNS”、“检查 ICMP”和“检查 ICMP 错误”全局服务策略,并使用默认检查映射。
我们的“外部”接口有一个固定的 IP,我们的“内部”接口位于 10.10.0.0/16 子网中。10.10.0.206 IP 是我们内部的 BIND DNS 服务器,DNS 解析良好。使用不同的 DNS 转发器(例如 OpenDNS)会产生相同的错误。
我花了几天时间试图弄清楚这一点,所以任何和所有的建议都值得赞赏!
您可以尝试以下方法,从最可能到最不可能:
如果这些都不能解决问题,请尝试如下设置捕获:
然后,在记录了其中几个错误之后(如果我没记错的话,这是语法):
这看起来像是防火墙的 NAT 状态表超时和 DNS 服务器自己的超时不匹配。
您的 DNS 服务器正在返回 ICMP Port Unreachable,可能是为了响应延迟接收的数据包。BIND 为每个出站查询选择一个随机(ish)端口,并且在 BIND 停止侦听该端口上的响应之后很长时间才能到达长时间延迟的响应。
这确实引出了一个问题,即为什么防火墙会愉快地允许(迟到的)返回的数据包进入,而不会随后让 ICMP 错误退出。
这是我们在 ASA 中看到此消息的原因之一:
当 PC/服务器运行 torrent 时,它会设置很多 NAT 会话。当用户随后关闭/终止 torrent 客户端时,我们确实会在很长一段时间内收到很多此错误。
如何处理它:不确定。为什么您收到此消息是针对
8.8.8.8Google 的公共 DNS,而不是 shure。它可能是一个程序在与 DNS 服务器打开会话时已终止。