如何在 Cisco ASA 55xx 路由器上允许 ICMP Echo 请求？

Question

Ash

Asked: 2012-05-21 17:23:02 +0800 CST2012-05-21 17:23:02 +0800 CST 2012-05-21 17:23:02 +0800 CST

Cisco ASA 阻止来自 DNS 服务器的流量

我的一位客户拥有 Cisco ASA 5505 设备。我根本不熟悉这些设备。

客户端有一个问题，它允许来自旧 DNS 服务器 (10.236.72.100) 的流量出站，但不允许来自新 DNS 服务器 (10.236.72.3) 的流量出站。

我目前在新服务器上有一个转发设置，用于将 DNS 查询转发到旧服务器。

旧服务器 = Windows Server 2003 新服务器 = Windows Server 2008 R2

据我所知，问题出在 Cisco 设备上。有人可以帮忙吗？

resmon6 · Answer 1 · 2012-05-22T04:29:17+08:00

Best Answer

resmon6

您的旧 DNS 服务器可能正在将请求转发到dns_servers对象组中的其中一台 DNS 服务器，并被此行允许

access-list inside_access_in extended permit object-group TCPUDP any object-group dns_servers eq domain

您的新服务器可能充当递归 DNS 服务器，并尝试将请求直接发送到根名称服务器、TLD 服务器等。如果您希望新服务器的行为与旧服务器相同，请将其请求转发到此中的其中一台服务器对象组。

object-group network dns_servers
 network-object host 10.1.224.10
 network-object host 10.2.191.51

如果您希望新的 DNS 服务器用作递归服务器，请将此行添加到您的 ASA 配置中：

access-list inside_access_in extended permit object-group TCPUDP host 10.236.72.3 any eq domain

topdog · Answer 2 · 2012-05-22T05:03:55+08:00

topdog

Windows 2008 有一个 TCP 窗口自动缩放问题，它会破坏使用连接跟踪的防火墙（几乎所有的防火墙都这样做）。

此处描述了问题及其修复